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دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


إهداء 


إهداء لأفضل صديقة وزوجةء لويس مولر. 


كانت لوؤيس رفيقتي وشريكتي لأكثر من +2 عاماء هواء على مركبنا الشراغي 
في بحيرة ميشيغانء أو في التزلج في ولاية يوتا أو في أي مكان آخرء أو أثناء زيارة 
اف أو السفر إلى أماكن ممتعة حول العام أو في بستنة الخضروات في الفناء 
الخلفي للمنزل أو مشاركتي إياها في طبخ أكلات من نتاج ما زرعناه. 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات ° 


قائمة المحتويات 


العنوان 
مقدمة يع لع الي E‏ 
الجزء الأول: مفاهيم حوكمة تقنية المعلومات SEE‏ 
الفصل الأول: أهمية حوكمة تقنية المعلومات لجميع المؤسسات EEA‏ 
الفصل الثاني: المفاهيم الأساسية للحوكمة وقواعد قانون ساربينز أوكسلي <50 ... 
قانون ساربينز أوكسلي :501 211111111111111 
الباب الأول من قانون ×80: مجلس الإشراف المحاسبي على الشركات المساهمة 204018 .. 
قواعد أخرى لقانون ×80 - الباب الثاني: استقلالية المدقق OOS‏ 
الباب الثالث لقانون <«50: مسؤولية الشركة REA‏ 


الباب الرابع لقانون ×50: تعزيز حالات الإفصاح عن البيانات المالية . 
ما المقصود بحوكمة تقنية ا معلومات 






الفصل الثالث: حوكمة المؤسسات وأدوات الحوكمة وإدارة المخاطر والامتثال G۸١‏ .. 


الطريق نحو مبادئ فعالة للحوكمة وإدارة المخاطر والامتثال E G۸٤‏ 
أهمية الحوكمة في نموذج RÎ 6٤€‏ 
عنصر إدارة المخاطر في نموذج SELES ESS 6۸٣‏ 
نموذج 610 وامتثال المؤسسة الل RE E‏ 
أهمية ممارسات ومبادئ نموذج G۸٣‏ الفعالة TT rer‏ 
الجزء الثاني: أطر عمل لدعم حوكمة فعالة لتقنية ا معلومات 11118 


الفصل الرابع: حوكمة تقنية المعلومات ونظم الرقابة الداخلية طبقاً للجنة 


المنظمات الراعية (كوسو - 0050©) ملم وي مم ا ا 


أهمية أنظمة الرقابة الداخلية الفعالة ولجنة المنظمات الراعية (050©) 
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محتويات 






إرشادات متابعة أنظمة الرقابة الداخلية (0050) ... ۲1 
تتمة: أهمية الرقابة الداخلية (0050) .... 1۸ 
ملاحظات ز ز ز 0 ز ز [ ز ز 1 1 1 1 و SSRs‏ ال 
الفصل الخامس: إطار كوبت (0018171) ومعهد حوكمة تقنية المعلومات ١١9  ....‏ 
المقدمة التنفيذية للإطار كوبت E EOE E E‏ 
إطار العمل كوبت والعوامل المحركة له re‏ 
المبدأ الأول لكوبت: إنشاء إطار متكامل لبنية تقنية معلومات RY aS‏ 
المبدأ الثاني لكوبت: دوافع تحقيق قيمة لأصحاب المصلحة EN SRSA‏ 
ا مبدأ الثالث لكوبت: التركيز على سياق الأعمال اا YEE‏ 
المبدأ الرابع لكوبت: عناصر تمكين إدارة المخاطر والحوكمة ER tae‏ 
المبدأ الخامس لكوبت: هياكل قياس أداء الحوكمة والإدارة ... \or‏ 





مطابقة عمليات كوبت مع أهداف تقنية المعلومات من خلال الجمع بينهما.... ٠٠١١‏ 








استخدام كوبت في بيئة قانون ساربينز أوكسلي (×50) OE RS‏ 
كوبت في دائرة الضوء 000 0 1 ا U I‏ 
N‏ 
11۳ 
ع1 
05 
VV‏ 
1A0‏ 
عمليات تشغيل الخدمة في آيتل a O OEE‏ 
حوكمة تقنية المعلومات وأفضل ممارسات تقديم الخدمة في آيتل . ۱۹۷ 
1۹۸ 





۸ دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


الفصل السابع: معايير حوكمة تقنية المعلومات: أيزو ۹۰۰۱ و۲۷۰۰۲ و :880 .. 





معلومات أساسية عن معايير الأيزو 1 
معايير الأيزو 1٠٠١‏ لإدارة الجودة SEHET [1 1 [ [ [ [ CRE‏ 
معايير الأيزو الخاصة بأمن تقنية ال معلومات: أيزو ۲۷۰۰۲ و nl ٠۷٠١١‏ 
معيار أيزو 80٠٠‏ الخاص بحوكمة تقنية المعلومات QERS‏ 
ملاحظات الما الا 


الفصل الثامن: قضايا حوكمة تقنية المعلومات: إرشادات حول إدارة المخاطر 
وإدارة المخاطر المؤسسية الصادرة عن لجنة المنظمات الراعية (050© 
ERM‏ ) واممجموعة المفتوحة للامتثال والأخلاقيات (©:0©17) SARS‏ 
أساسيات إدارة المخاطر ا 
تعريفات إدارة المخاطر المؤسسية وأهدافها الصادرة عن لجنة المنظمات الراعية 
ERM)‏ ©005): عرض محفظة ال مخاطر eos‏ 
إطار إدارة ا مخاطر ا مؤسسية الصادر عن لجنة المنظمات الراعية (0 ٥080 ۴٤۸‏ ) .. 
أبعاد أخرى في إطار (۷ E۸‏ ©005©) [[ [ز [ز[ [ [ز[ ز ز[ز[ز [ [ SO‏ 
"الكتاب الأحمر" لنموذج الحوكمة وإدارة المخاطر والامتثال التابع للمجموعة المفتوحة 
للإمتثال والأخلاقيات (©61 C٤6‏ 0)» وإدارة المخاطرء وحوكمة تقنية المعلومات 1 
ملاحظات . 
الجزء الثالث: أدوات وتقنيات إدارة البنية التحتية لحوكمة تقنية المعلومات 5 





الفصل التاسع: حوسبة سحابية وافتراضية وحوسبة محمولة متنقلة a‏ 
التعرف على الحوسبة السحابية 110 1 1 111ص 


نظم تقنية ا معلومات وافتراضية إدارة التخزين 1111010001002 
قضايا حوكمة الهواتف الذكية وأجهزة تقنية ا معلومات المحمولة ESAS‏ 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


ميقا 


x! 


محتويات 





الفصل العاشر: الحوكمة وإدارة أمن تقنية المعلومات وإدارة الاستمرارية عم 
أهمية البيئة الفعالة لأمن تقنية المعلومات 8 1 0 
مبادئ أمن تقنية المعلومات في المؤسسة: المعايير الأمنية المتفق عليها U‏ 0 
أهمية الإستراتيجية الأمنية الفعالة على مستوى المؤسسة E‏ 
تخطيط استمرارية تقنية المعلومات ا 
خطط استمرارية الأعمال وحوكمة تقنية المعلومات الاق ا ا كا 
ملاحظات و لل ا ل ل ون لاو BEN‏ 
الفصل الحادي عشر: معايير أمن البيانات الخاصة بصناعة بطاقات الدفع 

(2011255) وقواعد أخرى لحوكمة تقنية المعلومات EO GAAS‏ 
معلومات أساسية عن صناعة بطاقات الدفع وأمن البيانات 1055 201 والمعايير 

الخاصة بها 022003333 ا 0 0 FE‏ 
قانون جرام ليتش بليلي (/ا:11:41121-1.88011-81:11.5) في القواعد الخاصة 

بحوكمة تقنية المعلومات تمس ا ا E aa‏ 
قانون إخضاع التأمين الصحي لقابلية النقل والمحاسبة (11۶۸4): العناية 

الصحية وأكثر الاح اس و وا و فيد امس ا 
ملاحظات A‏ 2 12 1 1 1 1 1 از ا AT‏ 
الفصل الثاني عشر: بيان خدمات تقنية المعلومات: تحقيق قيمة أكبر من 

عمليات تشغيل تقنية المعلومات A SARGERAS‏ 
أهمية بيان خدمات تقنية المعلومات م ع ا م ا ركه 
دور بيان الخدمة في تنظيم أعمال مزود خدمات تقنية المعلومات FIN asa‏ 
محتوى بيان خدمات تقنية المعلومات وسماته 7 7 ز ز ز 0 0 000 
إدارة بيان خدمات تقنية المعلومات E E E‏ 


1۰ دليل المسئول التنفيذي لحوكمة تقنية المعلومات 





الجزء الرابع: بناء أنظمة حوكمة تقنية معلومات فعالة ومراقبتها 
الفصل الثالث عشر: أهمية البنية الموجهة نحو خدمات تقنية المعلومات لنظم 
حوكمة تقنية المعلومات ... 








تطبيقات البنية الموجهة نحو الخدمة (504) وتطبيقات تقنية المعلومات 






المدفوعة بالخدمة OOOO OE KEE‏ ا 
حَوكمَة البتئة الموجهة: تخ العدمة: وقضايا الزقابة'الداغلية وا خاظر 1 
تخطيط :وبثاء مخطظ نيق البنية اللوجهة نحو القدمة وتنفيدة ae‏ 
ال8 اة تحن العدّمة وعركية :فة المخلوفات 0010000 
ملاحظات SS ARR‏ 
الفصل الرابع عشر: إدارة تهيئة ومحفظة تقنية المعلومات 27 

مفاهيم إدارة تهيئة تقنية المعلومات 
أفضل ممارسات إطار آيتل الخاصة بإدارة تهيئة تقنية المعلومات ا 
قاعدة بيانات إذارة التهيثة :)C58(‏ غالبا ما يكون مفهوماً صعباً RSA‏ 
إنشاء قاعدة بيانات إدارة التهيئة 021108 في ا مؤسسة UAE‏ 
إذآرة:تيحفظة بَفَكَة اللعلوهات ل ا 


الفصل الخامس عشر: عمليات تنفيذ النظم التطبيقية وحوكمة تقنية 
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محتويات 


الفصل السادس عشر: قضايا حوكمة تقنية ا معلومات: إدارة المشاريع والبرامج .... >١‏ 


عملية إدارة المشاريع EN E aE ROS‏ 
معايير الدليل المعرفي لإدارة المشاريع 2218016 Sess‏ م 
أسلوب آخر لإدارة المشاريع: برنس 2 2 ۴۲1"۵ Sa‏ ل ا نه 
محفظة نظم تقنية المعلومات وإدارة البرامج O ce‏ 
مكتب إدارة البرامج (0310). أحد الموارد القوية للحوكمة OE ASS‏ 
إدارة المشاريع ومكتب إدارة البرامج (2210) وحوكمة تقنية المعلومات م 861 
ملاحظة 10000 1 ]1 2 2 1 2 0 0 


الفصل السابع عشر: اتفاقيات مستوى الخدمات (5145) ومنتدى إدارة 
خدمات تقنية المعلومات (1]5015) وقيمة تقنية المعلومات (110111) 





وتعظيم استثمارات تقنية المعلومات O SERETA‏ 
أفقل ممارسات إذارة الخدمات طبقا لإطار آل ومتتدئ إذارة خدمات تقتية 
المعلومات ONE eee 1 1 1 1 1 1 1 1 1 8 (itSMF)‏ 
معايير المجموعة المفتوحة للامتثال والأخلاقيات O SSS E 0٤٤6‏ 
قيمة تقنية المعلومات 1١‏ ۷41: تحسين قيمة استثمارات تقنية المعلومات ... 2 ٥۲۲‏ 
مع0 
الجزء الخامس: متابعة وقياس حوكمة إدارة المؤسسة ومجلس الإدارة .. EV a‏ 
الفصل الثامن عشر: إدارة محتوى المؤسسة 0 
خصائص إدارة ا محتوى المؤسسي ومكوناتها الرئيسية في المؤسسة اليوم الم +36 
عمليات إدارة ا محتوى المؤسسي وحوكمة تقنية ا معلومات DON AERA‏ 
خلق بيئة فعالة لنظام إدارة ا محتوى المؤسسي في المؤسسة DOV BES‏ 
الفصل التاسع عشر: دور التدقيق الداخلي في الحوكمة مس BNO‏ 
تاريخ التدقيق الداخلي ومعلومات أساسية عنه E. ROSAS SOAS‏ 


1 دليل المسئول التنفيذي لحوكمة تقنية المعلومات 





التدقيق الداخلي ومدقق تقنية المعلومات . 
أنشطة التدقيق الداخلي ومسئولياته ا مرتبطة بحوكمة تقنية ا معلومات E‏ 
معايير التدقيق الداخلي الخاصة بحوكمة تقنية ا معلومات 7 011 








الجزء السادس: حوكمة تقنية المعلومات وأهداف المؤسسة وس حا 
الفصل العشرون: بناء ثقافة أخلاقية في محل العمل والحفاظ عليها 11 
أهمية بيانات المهمة (الرسالة) 5ط 


مدونة قواعد السلوك للمؤسسة ز[ [ [ [ [ز[ [ [ [ [ [ [ [ 1 1 EE‏ 
المبلغون عن ال مخالفات وإدارات الخط الساخن 1 111111111 
إطلاق برنامج أخلاقيات العمل وتحسين ممارسات الحوكمة الؤسسية ... 





الفصل الحادي والعشرون: تأثير حوسبة وسائل التواصل الاجتماعي TAÊ‏ 
ما المقصود بحوسبة وسائل التواصل الاجتماعي؟ 111110 
أمثلة على وسائل التواصل الاجتماعي GREASE‏ 
نقاط ضعف حوسبة وسائل التواصل الاجتماعى في المؤسسة ومخاطرها o‏ 


الفصل الثاني والعشرون: حوكمة تقنية المعلومات ودور لجنة تدقيق تقنية المعلومات 3 
لجنة التدقيق القابعة للمؤسسة وحوكمة تقنية المحلومات ا 
مشؤوليات' لجنةالتدفيق مجاه حوكمة تفنية الاحلومات اللو ا 
اجتباعات لجنة التدقيق وققايا حوكنة تة المحلومات .. 
قبذة عن اللؤلق :+ 
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في ظل الظروف الاقتصادية الدائمة التغير التي يشهدها عام اليوم والأنشطة التنظيمية 
المتزايدة» تصبح الحوكمة ذات أهمية متزايدة لجميع الشركات على اختلاف أحجامهاء سواء 
كانت مؤسسات قطاع عام غير ربحية أو كيانات خاصة. وتتكون مفاهيم حوكمة المؤسسات 
من سلسلة من مجالات واسعة تغطي أنشطة المؤسسة التي تبدأ بالمساءلة الإدارية وإدارة 
المسئوليات الائتمانية تجاه عملائها وموظفيها ومنظميها وغيرهم من أصحاب المصالح جميعهم. 
ويتطلب ذلك تطبيق عدد من الإرشادات والبرامج لضمان نزاهة الإجراءات الإدارية وحماية 
المؤسسة من الممارسات المخالفة والاحتيالية. كما تشتمل حوكمة ام مؤسسة أيضا على عمليات 
الإدارة وسياساتها التى تعزز الكفاءة الإستراتيجية والاقتصادية للمؤسسة. وتتضمن إدارة الكفاءة 
الاقتصادية للمؤسسة الكيفية التي من خلالها ينوي نظام الحوكمة لديها تحسين النتائج وتحقيق 
الأهداف المرجوةء كما يدعو تعزيز الكفاءة الإستراتيجية للمؤسسة إلى تعزيز أهداف سياسة عامة 
للمؤسسة وإرسائهاء تلك الأهداف التي لا تقاس دائماً من المنظور الاقتصادي مباشرةً لكنها تشتمل 
على أمور مثل وضع برنامج أخلاقيات مؤسسية قوي وتحسين الجودة ورفاهية الموظفين. 

ومن الطبيعي أن تحتاج الحوكمة المؤسسية الفعالة إلى مهارات إدارية قوية لاتخاذ 
قرارات مهمة وتشكيل القيادة. كما تحتاج وبشكل كبير إلى نظم وعمليات تقنية المعلومات 
على وجه الخصوص. ويمثل هذا المجال المهم» حوكمة تقنية المعلومات» الموضوع الشامل 
لهذا الدليل التنفيذي. 

وفي الأيام الأولى لعمليات تقنية المعلومات ونظمهاء كانت الإدارة العليا للعمليات 
التشغيلية غالبا ما توكل عمليات كثيرة من عمليات تقنية المعلومات للمتخصصين المسؤولين 
عن بناء موارد تقنية المعلومات في المئؤسسة وتشغيلها وصيانتها. وبينما كثر الحديث وقتها 
عن ضرورة إشراك الإدارة ومستخدمي نظم تقنية المعلومات مع متخصصي ومطوري موارد 
تقنية المعلومات: فإن إدارة العمليات كانت تتعرض دانما لخيبات أمل. فالمبادرات الجديدة 
لتقنية المعلومات وقتها لم تحقق في الغالب أهدافها المرجوة المعتمدة أو حققتها في وقت 
متأخر أو احتوت على نقاط ضعف في أمن المعلومات والرقابة الداخلية: أو أنها مم تعد 
مطلوبة إما بسبب سوء التخطيط أو تقديرات احتياجات الإدارة. ولتحسين تلك الأمور اليوم» 
تظهر الحاجة إلى عمليات أفضل لإدارة وتنسيق جميع جوانب موارد تقنية المعلومات في 
المؤسسة. أي الحاجة إلى حوكمة تقنية المعلومات. 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات 10 


مقدمة 


هذا الكتاب هو دليل للسلطة التنفيذية يتناول هذا المفهوم المهم لحوكمة تقنية 
المعلومات. ولا نركز هنا على قيام متخصصي تقنية المعلومات بتركيب معدات هاردوير 
وبرمجيات وتوصيلات شبكات خاصة بتقنية المعلومات» ولا على الموارد المهمة مثل المدققين 
الداخليين الذين يختبرون عمليات تقنية المعلومات ويراجعونها. لكننا نركز على السلطة 
التنفيذية في المؤسسة التي يكون لديها بعض الفهم لعمليات تقنية المعلومات» لكنها تكون 
مهتمة أكثر بمعرفة المزيد عن القضايا والعمليات الضرورية المهمة في إدارة موارد وأنظمة 
تقنية المعلومات بكفاءة وكذلك الاستفادة منها في بيئة اليوم المتصلة بالإنترنت. 

ويهدف هذا الكتاب إلى تقديم معلومات أساسية عالية المستوى عن نوع من القضايا 
المتعلقة بحوكمة تقنية المعلومات التي تعتبر مهمة لمؤسسات الأعمال وللمدير التنفيذي 
اليوم. ونأمل أن نزود الجهة التنفيذية في 0-6 بمعلومات عامة وكافية تتمكن من خلالها 
من تكوين فهم أكبر عن قضايا حوكمة تقنية المعلومات المهمة هذه الأيام ولتكون قادرة 
آنا على طرح أسئلة أفضل لتحقيق فهم کر لهذه القضايا ولاتخاذ قرارات فعالة فيما 
يتعلق مسائل حوكمة تقنية المعلومات تلك. فعلى سبيل المثال: نشير اليوم في كثير من 
الأحيان في أدبيات الأعمال التجارية إلى مصطلح الحوسبة السحابية „(Cloud Computing)‏ 
وسيقدم لنا الفصل التاسع فر عامة عن الحوسبة السحابية وسبب أهميتها في حوكمة 
تقنية المعلومات الفعالة. وبا مثل» سنقدم مفهوم اتفاقيات مستوى الخدمة (45.آ5): وهي 
عادة عقود غير رسمية بر بين مستخدمي أو أصحاب موارد تقنية المعلومات وإدارة تقنية 
المعلومات. وهدفنا هنا هو مساعدة السلطة التنفيذية في المؤسسة ليكون لديها فهمٌ أكبر 
عن سبب أهمية اتفاقيات مستوى الخدمة وكيفية تبنيها في المؤسسات وإدارتها على اختلاف 
أحجامها وأنواعهاء وكيف يكن استخدامها لتحسين عمليات حوكمة تقنية المعلومات. 

وقد سمت فصول هذا الكتاب لسعة مواضيع أو أَجَزاء رئيسية. كل جزء من هذه 
الأجزاء والفصول التي يحتويها يعتبر وحدة متكاملة في العموم» ويلخص قضايا حوكمة 
تقنية المعلومات التي تخص هذا الجزء. ونأمل أن تتمكن من خدمة الجهة التنفيذية 
با مؤسسة من خلال تزويدها بمعلومات كافية عالية المستوى لفهم كل من قضايا حوكمة 
تقنية المعلومات تلك ومفاهيمها. 
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الجزء الأول: مفاهيم حوكمة تقنية المعلومات: 

تزودنا فصول هذا الجزء بمقدمة شاملة عن مفهوم حوكمة تقنية المعلومات وكيفية 
تطنيقهاغان مؤسِسآت الأعمال غموماء رغال موازة تفنية اللع[ومات لهذة الؤسسات لعفا 
ويحتوي هذا الجزء على فصل يصف أهمية قواعد قانون ساربينز أوكسلي Sarbanes-)‏ 
Act )SOx) rules‏ 02167) وتأثيرها بوصفها مجموعة من التشريعات تحوي القواعد 
العامة لضبط المؤسسات المالية وغيرها من نظم الرقابة الداخلية التى وضعت للمرة الأولى 
في اينات المتحدة بدايات هذا القرنء أما الآن فهي مستخدمة تقريباً في جميع أنحاء 
العام. ويختتم هذا الجزء بفصل يشرح قضايا شاملة لنظام الحوكمة والمخاطر والامتثال 
وهي ما تعرف بقضايا جي آر سي (٥6۸)ء‏ وهو مفهومٌ مهم ومصطلحٌ شائعٌ في العديد من 
النقاشات الإدارية في مؤسسات اليوم. 


الجزء الثاني: أطر عمل لدعم حوكمة فعالة لتقنية المعلومات: 
بالإضافة إلى ا معايير والمفاهيم القيمة لحوكمة تقنية المعلومات» تحتاج الجهة التنفيذية 
في المؤسسة لفهم ب بعض أطر العمل المهمة لحوكمة تقنية المعلومات وحوكمة المؤسسة 
بكاملها. كما يحتوي هذا الجزء على فصل يقدم بلحة أو نظرة عامة عن إطار الرقابة 
الداخلية للجنة المنظمات الراعية (0050) ويوضح سبب أهمية هذا الإطار بالنسبة 
لحوكمة فعالة لتقنية ا معلومات. ويحتوي هذا الجزء أيضاً على فصل يقدم بمحة أو نظرة 
عامة ومقدمة عن أهداف ضوابط المعلومات والتقنيات ذات الصلة وهو ما يعرف مصطلح 
كوبت (00811).: كما يدعم هذا الفصل توجيهات صادرة من معهد حوكمة تقنية 
المعلومات. ويمثل كلّ من ذلك مفاهيم مهمة في الرقابة الداخلية» ويجب أن يكون المسئول 
التنفيذي في الملؤسسة درك لتلك المفاهيم ولسبب أهميتها في حوكمة تقنية ا معلومات. 
ويحتوي هذا الجزء أيضاً على فصل يقدم مفهوماً مهماً آخر في حوكمة تقنية المعلومات» 
يعرف بمكتبة البنية التحتية لتقنية المعلومات آيتل (آ111): وهو عبارة عن المواد الإرشادية 
لأفضل ممارسات إدارة جميع جوانب موارد تقنية المعلومات ف المؤسسة. وسيتناول هذا 
الفصل ا منتدى إدارة خدمة تقنية المعلومات بوصفه مرقلا يمكتبة البنية التحتية لتقنية 
المعلومات: هذا المنتدى الذي يعد منظمة احترافية هامة تقدم دليلاً إرشادياً لحوكمة تقنية 
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المعلومات. ويجب على المسئول التنفيذي با مؤسسة الذي يضطلع بمسئوليات إدارة عمليات 
تقنية المعلومات أن يتمتع بمستوى فهم جيد لتلك المواد الإرشادية واستخداماتها في إحدى 
إدارات تقنية المعلومات وكيفية دعمها لحوكمة تقنية المعلومات لتكون أكثر كفاءة. 

كما تقدم فصول الجزء الأول من هذا الكتاب إطارين مهمين في حوكمة تقنية 
وهات أو ,متها دة معاديز أيزق (0)66*اللنظمة اة لمان ومجموعة 
من المواد الإرشادية المهمة لحوكمة تقنية ا لمعلومات. وسنقدم اما حرف 6686(5 
أو المجموعة المفتوحة للامتثال والأخلاقيات ومجموعة من إرشادات إدارة المخاطر. ولابد 
هنا من فهم كل من معايير الأيزو لحوكمة تقنية المعلومات والمجموعة المفتوحة للامتثال 
والأخلاقيات (©0078) لتنفيذ ممارسات حوكمة فعالة لتقنية المعلومات. ومن المفترض 
أن تساعد هذه الأطر مدير الشركة على فهم بعض قضايا حوكمة تقنية المعلومات الهامة. 


الجزء الثالث: أدوات وتقنيات إدارة البنية التحتية لحوكمة تقنية المعلومات: 

تشمل البنية التحتية لتقنية المعلومات جميع الأشخاص وال موارد اللازمة لتشغيل تقنية 
المعلومات في المؤسسة وإدارتهاء متضمناً ذلك أجهزة الخوادم وأخصائي أمن تقنية ا معلومات 
وجميع الأشخاص والمعدات اللازمة لإدارة شبكة الاتصالات. ويناقش فصل في هذا الجزء 
العديد من التقنيات الأحدث والمهمة التي تتحكم في تغير عام تقنية المعلومات اليو 
مثل مفاهيم الحوسبة السحابية ومفهوم الافتراضية. وسنتحدث عن هذه المفاهيم وقضايا 
أخرى ذات صلةء كما سنناقش سبب أهميتها لحوكمة تقنية المعلومات. 

وتتعرض البنى التحتية لتقنية المعلومات لنوعية من التهديدات على مستوى الأمن 
والسلامة» مثل تعرضها لهجوم غير متوقع من إحدى البرامج التخريبية أو عدم القدرة على 
استعادة الأعمال بسبب قصور في أنظمة النسخ الاحتياطي أو انتهاكات كلمات المرور مما 
يسبب اختراق البيانات السرية. ويوجد فصل هنا يتحدث عن قضايا مهمة لكفاءة حوكمة 
تقنية ا معلومات» وهي قضايا تخطيط أمن تقنية المعلومات واستمراريتها. كما يوجد فصل 
آخر هنا يتناول بعض القواعد والأنظمة الأمنية لتقنية المعلومات الأكثر أهمية لتأسيس 
حوكمة تقنية معلومات ذات كفاءة عالية في املؤسسة. 
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ثم ننهي هذا اچ بفصل يتناول أساليب تحقيق قيمة أكبر لعمليات تقنية المعلومات 
التي يجب أن تتضمن عمليات داق وتراقب بشكل جيد وعمليات تي ذات 
كفاءة وجدوى اقتصادية. ويجب على الإدارة بجميع مستوياتها أن تت تتمتع بمستوى فهم عام 
لآلية تطبيق هذه القضايا والاستفادة منها. وسيطرح هذا الفصل أيضاً بعض التوجيهات 
من وجهة نظر إدارة تقنية المعلومات. 


الجزء الرابع: بناء أنظمة حوكمة تقنية معلومات فعالة ومراقبتها: 

بالإضافة إلى أدوات وعمليات البنية الأساسية لتقنية المعلومات التي ذُكرت في الجزء 
السابق» فإن فصول هذا الجزء تناقش طرق بناء عمليات حوكمة تقنية معلومات فعالة في 
النظم والتطبيقات التي تتبناها المؤسسات. ويتناول أحد الفصول هنا بشكل خاص أهمية 
ما تعرف عموماً بأنها البنية الموجهة نحو الخدمة (504). وهي الطريقة الأكثر شيوعاً 
واستخداماً اليوم لبناء تطبيقات جديدة وتنفيذهاء تلك التطبيقات التي تمثل عمليات 
مختلفة تماماً عن العمليات التقليدية القدهة المتبعة مسبقاً في تطوير التطبيقات. وتتناول 
الفصول الأخرى في هذا الجزء قضايا حوكمة تقنية المعلومات اللازمة لإدارة الأنظمة وتغيرات 
العمليات وضوابط المراجعة بالإضافة إلى الحديث عن الطرق المستخدمة في تطبيق النظم 
المتكاملة التي تقدم حوكمة لعمليات تقنية المعلومات وإدارةً لها بشكل أفضل. 

ويوجد فصل في هذا الجزء يتحدث عن الأدوات والوسائل المستخدمة في إدارة المشاريع 
والبرامج. ويجب أن تدرك الإدارة بمختلف مستوياتها أهمية وقيمة كل من الإدارة الجيدة 
للمشاريع ووسائل الرقابة المستخدمة لتعزيز عمليات حوكمة تقنية المعلومات. ويأق 
الفصل الأخير في هذا الجزء ليتحدث عن اتفاقيات مستوى الخدمة» حيث يتناول معايير 
ومقاييس الأداء الرسمية بين موارد تقنية المعلومات ومستخدميهاء وهي إحدى الأدوات 


المهمة للغاية لحوكمة تقنية اللعلوفات. 


الجزء الخامس: متابعة وقياس حوكمة إدارة المؤسسة ومجلس الإدارة: 
ركزت معظم الفصول السابقة على تمكين المسئول التنفيذي لتقنية المعلومات من فهم 
وتنفيذ عمليات حوكمة تقنية المعلومات الفعالة في عمليات تقنية المعلومات بالمؤسسة 
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وأنظمتها. أما فصول هذا الجزء فتركز على دور التدقيق الداخلي في المؤسسة. حيث يحتوي 
هذا الجزء على فصل يوضح أهمية التدقيق الداخلي لحوكمة تقنية المعلومات. 

كما يحتوي هذا الجزء أيضاً على فصل يتناول طرق إدارة الوثائق من منظور المسئول 
التنفيذي لتقنية المعلومات متضمنا أهمية قضايا حفظ محتوى البيانات وإدارتها. 


الجزء السادس: حوكمة تقنية المعلومات وأهداف المؤسسة: 

يركز هذا الجزء الأخير من كتابنا على بعض الإرشادات لوضع ثقافة أخلاقية في بيئة 
العمل ومواصلة العمل بمقتضاهاء الأمر الذي يمكن اعتباره من العناصر الهامة في حوكمة 
تقنية المعلومات. كما يحتوي هذا الجزء على فصل يتحدث عن أهمية تطبيقات حوسبة 
شبكة التواصل الاجتماعي - كثيرة الاستخدام هذه الأيام كفيسبوك مثلاً - ومدى تأثيرها 
في حوكمة تقنية المعلومات. أما الفصل الأخير من هذا الكتاب فيحتوي على توجيهات 
حول كيفية استخدام حوكمة تقنية المعلومات لتحقيق القيمة المرجوة من استخدام تقنية 
ا معلومات. 

ركزت هذه الفصول على حاجات الإدارة التنفيذية العليا للمؤسسة واهتماماتها. وسنبدأ 
كل فصل من الفصول التالية بالحديث عن أهمية عنوان الفصل من منظور حوكمة تقنية 
المعلومات. ثم سنتحدث عن أدوات ووسائل تنفيذ عمليات حوكمة معينة وطرق قياس 
مدى نجاحها. وبالإضافة إلى هذه الفصول المخصصة للحديث عن الموضوعات المحددة التي 
أشرنا إليهاء فإن هناك فصولاً أخرى ستتناول بالشرح عناصر مهمة من عمليات إدارة خدمة 
تقنية المعلومات وكوبت (008171) وآيتل (:1111). كما سنحاول الربط بين جميع القضايا 
الخاصة بحوكمة تقنية المعلومات وبين الضوابط والمخاوف العامة لحوكمة المؤسسة. 

إن الهدف العام من هذا الكتاب ليتمثل في مساعدة كبار مديري المؤسسات على 
فهم أهمية قضايا حوكمة تقنية المعلومات بشكل أفضل وعلى تطبيقها في مؤسساتهم» 
لتكون نتيجة ذلك الوصول إلى نظم وعمليات أقوى لكل من تقنية المعلومات والمؤسسة 
بكاملها. 
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مفاهيم حوكمة تقنية المعلومات 


۲۲ 


الفصل الأول 


أهمية حوكمة تقنية المعلومات لجميع المؤسسات 


كان الظهور الأول لتطبيقات تقنية المعلومات والحاسبات بشكل أساسي في عام 
الأعمال مطلع ستينيات القرن العشرين في الولايات المتحدة وأوروبا. فقد كانت وقتها 
تقنية أعمال جديدة صاحبها قيام العديد من الشركات بتقديم عروض تنافسية منتجاتها 
من المعدات الحاسوبية والبرمجيات للشركات الرئيسية الكبرى ذلك الوقت. وقد سارعت 
الشركات على اختلاف مستوياتها لمواكبة تلك التقنية الحديثةء فضلاً عن الاستثمارات 
الضخمة التي خُصصت لتثبيت نظم جديدة وتوظيف مبرمجين ومحللين لبنائها وإطلاقها 
وتدريبهم على ذلك. وعلى الرغم من وقوع بعض الإخفاقات على طول الطريق» 
فإننا جميعاء وفي هذه الأيام نستخدم تلك النوعيات من المنتجات البرمجية والمعدات 
الحاسوبية ونستفيد منها. 


واليوم نجد أن نظم تقنية ا معلومات المدعمة بتقنيات داثمة التغير والتطور تعد بمثابة 
العنصر الأساسي في الغالب لجميع أنشطة الأعمال. ومع ذلك نجد أن أنشطة تقنية 
المعلومات التي نمارسها ليست مدعمة ببعض من المعايير والإجراءات نفسها الموجودة 
فالات أعمال أخرى. قعل ميل الخال هة وعم ذظ ابلجاسبة واالعايين الخالية'هن 
خلال مبادئ محاسبية متعارف عليها يقوم بمراجعتها مدققون مستقلون» فضلاً عن أنها 
تخضع لقواعد محاسبة مالية حكومية كقواعد هيئة الأوراق المالية والبورصة في الولايات 
المتحدة الأمريكية. كما توجد قواعد مشابهة لأفضل الممارسات وا معايير الخاصة مجالات 
أنشطة أعمال أخرى كما هو الحال في كثير من مجالات التسويق ومراقبة الجودة. وليس 
هذا هو حال عمليات تقنية المعلومات ونظمها. وعلى الرغم من حقيقة أن عمليات 
تقنية المعلومات تواجه هذه الآونة متطلبات متزايدة فيما يخص الامتثال المهني والحكومي 
فضلاً عن تعرضها لكم هائل من مخاطر النظم المرتبطة بذلك. فإن الحاجة مستمرة لتبني 
ممارسات أفضل في حوكمة تقنية المعلومات هذه الأيام. 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات ¥ 


الفصل الأول 


كان مفهوم حوكمة تقنية المعلومات مجهولاً إلى حد كبير لعدة سنوات قليلة مضت. 
فقد كنا نرى حوكمة المؤسسات من منظور الأدوار والأنشطة التي تقوم بها الإدارة العليا 
ومجلس الإدارة في حين كنا لا نرى إدارات تقنية المعلومات في هذه المؤسسات القديمة 
إلا في شكل إدارات دعم فني مهمة للغاية وليست أنشطة رئيسية للأعمال. لقد تغير 
حقاً مفهومنا العام حول حوكمة المؤسسات في الولايات المتحدة في السنوات الأولى من 
القرن الحالي وذلك بعد الإخفاق الذي تعرضت له إحدى كبرى الشركات الأمريكية والتي 
تدعى إنرون (صمتد8). الأمر الذي فاجاً الجميع وم يكن متوقعاً على الإطلاق لدرجة قيام 
الهينات التنظيمية الحكومية في الولايات المتحدة بإجراء تحقيق في هذا الأمر واكتشفت 
غياب العديد من الممارسات المالية وممارسات حوكمة الشركات. الأمر الذي أدى إلى فرض 
قانون ساربينز أوكسلي [Sarbanes-Oxley (SOx)]‏ في الولايات المتحدة الأمريكية. وقد 
كان لهذه القواعد التشريعية الأثر الرئيسي على الممارسات المتعلقة بإعداد التقارير المالية 
وحوكمة الشركات» وذلك في الولايات المتحدة الأمريكية أولاً وبعدها في جميع أرجاء العام. 
وقد كان لقانون ساربينز أوكسلي أيضاً دور رئيسي فيما يتعلق بالحاجة لحوكمة تقنية 
المعلومات بشكل فعّال. 

وفي هذه الآونة يفكر كبار المديرين ومديرو تقنية المعلومات والممارسون في حوكمة 
تقنية المعلومات بطرق عديدة غير أنها مختلفةء إذ يرى البعض حوكمة تقنية المعلومات 
على أنها قواعد "قيادة وسيطرة" على مبادرات تقنية المعلومات» وأن واضعي تلك القواعد 
هم مدققون داخليون ومديرون تنفيذيون غير تقنيين ومستشارون خارجيون؛ في حين 
يراها آخرون مجرد آلية تستخدمها المؤسسة لتطبيق نهج الأخ الأكبر بفرض قيود تنازلية 
15 102-10017131 على جميع أنشطة تقنية المعلومات. أما من منظور ممارس 
تقنية المعلومات الذي يبني النظم ويدييها يدت تحسين إنتاجية الأعمالء فإننا نجد 
أا أن حوكمة تقنية المعلومات تبدو وكأنها شر لا ضرورة له يعيق النواحي الإبداعية 
والإنتاجية المرتبطة بتقنية المعلومات في المؤسسات. على كل حالء فإن حوكمة تقنية 
ا معلومات لا تتحكم في إدارة الشركة وإداراتها التقنية من خلال فرض لوائح ومعايير 
وسياسات صارمة» لكن الحوكمة الجيدة لتقنية المعلومات في المقابل لا تعدو إلا أن تكون 
مجموعة من السياسات وأفضل الممارسات التي يلزم أن تعمل باعتبارها قوة إستراتيجية 


e‏ دليل المستول التنفيذي لحوكمة تقنية المعلومات 


أهمية حوكمة تقنية المعلومات لجميع ا لمؤسسات 


تجعل من الممكن تحسين العمليات التشغيلية للأعمالء وبتلك الصورة لحوكمة تقنية 
المعلومات نجد جميع المؤسسات بكل مستوياتها تتبناهاء بل نراها تتجاوز حدود عمليات 
تقنية المعلومات المؤسسية. 


وتتميز الحوكمة الجيدة لتقنية المعلومات بالتوافق مع المؤسسة بشكل إستراتيجي لدعم 
تطوير بنية تقنية معلومات تقدم قيمة مؤسسية مناسبة يمكن تعظيمها. تساعد حوكمة 
تقنية المعلومات في قياس نمو الأعمال ونجاحها وكذلك قياس صحتها المالية. تقدم الفصول 
التالية من هذا الكتاب نظرة جديدة وشاملة لحوكمة تقنية المعلومات والتي تتناول معايير 
أداء الأعمال المؤسسية الجوهرية إلى جانب العوامل اممهمة للالتزام بالامتثال وإدارة المخاطر. 
ونظراً لأن الفصول التالية ستناقش جوانب مهمة لكل من تلك العوامل» فإننا سنشير إلى 
الحوكمة والمخاطر والامتثال بهذا الاختصار (6160) وهي مجموع الحرف الأول لكل كلمة. 
وهو المصطلح الشائع استخدامه هذه الأيام في المطبوعات المتعلقة بالأعمال. 

تبين حوكمة تقنية المعلومات الطريق الذي من خلاله تتمكن المؤسسة من تقديم 
قدرات أعمال لإنجاز مهام حرجةء وذلك باستخدام إستراتيجيات تقنية المعلومات وأهدافها 
وغاياتها. كما تهتم حوكمة تقنية المعلومات بتحقيق التوافق الإستراتيجي بين أهداف 
الأعمال وغاياتها من جهة واستغلال موارد تقنية المعلومات لديها من جهة أخرى لتحقيق 
النتائج المرجوة بكفاءة. يبين الشكل التوضيحي )1-١(‏ هذا المفهوم لحوكمة تقنية المعلومات 
وكيفية توافقه مع جميع إستراتيجيات المؤسسة. 

على الرغم من أن الشكل التوضيحي )1-١(‏ عام جد إلا أنه يعرض مفاهيم حوكمة 
تقنية المعلومات - موضوع هذا الكتاب -في الوسط لتكون ضمن الإستراتيجيات والعمليات 
الشاملة للمؤسسةء وهو مفهوم أساسي دائاً يجب أخذه في الحسبان. وفي كثير من الأحيان 
قد يرى مدير تقنية معلومات متسلط أن أفكاره لتحسين نظم تقنية المعلومات وعملياتها 
وإدارتها تتجاوز في أهميتها غالباً الأنشطة الأخرى للمؤسسة: ولذا يجب علينا دائماً أن نعي 
أنه على الرغم من الأهمية القصوى لعمليات تشغيل تقنية المعلومات بالنسبة لجميع 
أعمال المؤسسة في كثير من الأحيانء فإنه يجب أن تنسجم تلك العمليات مع جميع أنشطة 
المؤسسة وإستراتيجياتها. وعلى الرغم من أن مدير إدارة تقنية المعلومات أو الرئيس 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات ro‏ 


الفصل الأول 


التنفيذي للمعلومات (010) Chief Information Offcer‏ › قد يشعر بأن لديه المقترح 
الأصلح لعمل بعض التغييرات أو التحسينات في عمليات تقنية ا معلومات؛ فإن هذا المقترح 
يجب أن يكون نافعا لباقي أنشطة المؤسسة. فعلى سبيل المثالء قد يدرك الرئيس التنفيذي 
للمعلومات أهمية إبرام اتفاقيات مستوى الخدمة Service Level Agreements (5LAs)‏ 
أو عقود غير رسمية ما بين مستخدمي تقنية المعلومات ومقدميهاء وهو ما سنتناوله في 
الفصل السابع عشر من هذا الكتاب» باعتبار ذلك وسيلة مناسبة لتحسين عمليات تقنية 
المعلومات وتطويرها. ولكن في حال عدم استحسان هذا المقترح من قبل الإدارة العلياء فإنه 
يجب على الرئيس التنفيذي للمعلومات أن يذعن لتوجه الإدارة العليا ولا يتوقف عن عمل 
تحسينات أخرى كلما أمكن ذلك. 
شكل توضيحي (۱-۱) 


مفاهيم حوكمة تقنية ا معلومات 


٠‏ مفاهيم الحوكمة وإدارة المخاطر والامظال 686 لتقنية المعلومات» وقواعد 
قاترن ×50 


ERM 600811 1111-0050‏ و مسايير أيزو 
أمن ثقتية المعلومات» ممايير أمن يرات بطاكات الدفع 801-055 
والافتراضية 


حوسبة شبكات التواصل الاجتماعي. الثقافة الأخلاكية لتلثية المطومات. 
وقيمة اعمال تقية المعلومات. 
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أهمية حوكمة تقنية المعلومات لجميع ا لمؤسسات 


ولعل المقصد هنا يتركز في أن البنية المؤسسية لتقنية المعلومات هي التي تضع جميع 
قواعد الإطار العام لجميع أنشطة المؤسسة وحوكمة تقنية المعلومات. تقدم لنا الفصول 
التالية من هذا الكتاب عدة مجالات يمكن من خلالها تحسين نظم تقنية المعلومات 
وعملياتها. لكن مع استهداف تحسين حوكمة تقنية المعلومات في المؤسسة بالكامل يجب 
أن تنسجم تحسينات حوكمة تقنية المعلومات تلك مع الإطار العام لعمليات المؤسسة. 

يشير الجزء الخاص بحوكمة تقنية المعلومات في الشكل التوضيحي )١-١(‏ إلى سلسلة 
من الأنشطة الأخرى» يتوافق كل نشاط منها تقريباً مع موضوعات أحد الفصول الموجزة في 
مقدمة الكتاب والمفصلة في الفصول اللاحقة. وقد حاولنا في هذه الفصول أن نوجز العديد 
من القضايا ا مهمة لتحسين حوكمة تقنية المعلومات» تلك القضايا التي يجب أن ترتبط 
بشكل وثيق بجميع عمليات اممؤسسة. 

تعمل حوكمة تقنية المعلومات على توزيع السلطة على مختلف طبقات الهياكل 
التنظيمية داخل المؤسسة مع ضمان استخدام تلك السلطة بشكل سليم وحكيم. ولا 
نقصد هنا مجرد الهياكل الهرمية؛ بل يجب علينا دوماً أن نتذكر أن الهياكل الشبكية تسمح 
بالتخصصية وتشكيل الفرق وتشكيل بنية تحتية لدعم تلك الفرق. فالتخصصية تسمح 
لمجموع أجزاء المنظمة بأن يكون أكبر من الكل. كما يجب أن نتذكر أن حوكمة تقنية 
الاعلومات لك جكرا عاق امات لكر فاه هات الأمكن تفر أيضا إل ااك 
جيدة لحوكمة تقنية المعلومات. ومع ذلك يوجد بوضوح عدد أقل من نقاط الرقابة التي 
يلزم توظيفها في عمليات المؤسسات الصغرى في حين أن تركيزنا في فصول هذا الكتاب 
سينصب على المؤسسات الكبرى. 

عندما نستعرض مفهوم حوكمة تقنية المعلومات كما أوردته الفصول التالية من هذا 
الكتاب» نجد أنها تؤثر في أداء الأعمال وتساعد وبشكل مثالي المؤسسة في أن تتفوق على 
منافسيها. ومن ال موضوعات الأساسية هنا أن تعرف أن حوكمة تقنية المعلومات هي التي 
تحدد أداء الأعمال وخاصة أداء موارد تقنية المعلومات وقت تطبيقها لتحقيق الأهداف 
الإستراتيجية للأعمال. فالحوكمة الجيدة لتقنية ا لمعلومات تؤدي مباشرة إلى إنتاجية أكبر 
وجودة أعلى ونتائج مالية أفضلء في حين أن الحوكمة السيئة لتقنية المعلومات تؤدي غالباً 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات ۷ 


الفصل الأول 


إلى إهدار برمجي وبيروقراطية وانخفاض في الروح المعنوية وتدني الأداء المالي بشكل عام. 
ولإثبات أهمية الممارسات الجيدة لحوكمة تقنية المعلومات علينا أن ننظر إلى المؤمسات 
التجارية التقليدية التي تنتج السلع والخدمات لعملائها التقليديينء حيث نجد أن هؤلاء 
العملا موا يرون الأعمال فقط عندما يتواصلون مع تلك المؤسسات لتقديم طلباتهم 
للحصول على تلك ال منتجات أو على قيمة من خلال بيع تلك المنتجات أو إنتاجها أو لتقديم 
معلومات من خلال ملء الاستبيانات والتحليلات التسويقية. تعد كفاءة العمليات الداخلية 
للأعمال وتنسيقها هي ما تشكل خبرة العملاء مجملهاء وهذا في حد ذاته مجال من مجالات 
أداء الأعمال يجب قياسه وتطويره. وحتى تؤثر حوكمة تقنية المعلومات بشكل إيجابي في 
أداء الأعمال لابد أن تركز على مجمل عمليات الأعمال تلك وتستكشفهاء تلك العمليات التي 
يتفاعل معها العملاء. وفي المقابل نرى أن الحوكمة السيئة لتقنية المعلومات تُخرج الل 
من نظرها التزاماً منها بتطبيق بعض اللوائح والقوانين والمعايير والسياسات المفضلة وا معزولة. 
كما نلحظ في سياق عمليات الأعمال الشمولية (من النهاية إلى النهاية) أن المكاسب المحلية 
الناتجة من كفاءة العمليات وإنتاجيتها لا تحقق في الغالب النتائج المرجوة. هذا بالإضافة إلى 
أن تطبيق اللوائح الخارجية على عمليات الأعمال الداخلية يجب توضيحه بطرق تؤثر إيجاباً في 
تجارب العملاء ولا يكون مجرد امتثال ظاهري للوائح» إذ إن عمل ما هو خلاف ذلك سيعرض 
المؤسسة للمخاطر. فالحوكمة الجيدة لتقنية المعلومات هي التي تتناول عمليات الأعمال 
الشمولية بمجملها وتقوم بتنسيق أنشطة المؤسسة مع مرور الوقت وعبر حدود المنظمة. 


وكما سترى في فصول هذا الكتاب» فإن حوكمة تقنية المعلومات لا يجب أن تُوْخذ في 
الاعتبار فقط عند إطلاق المؤسسة لمبادرة جديدةء ذلك أنها ليست مشروعاً يبدأ وينتهي 
بشكل منفصلء لكن يجب اعتبارها عنصراً أساسياً في نسيج المؤسسة يتجاوز حدود الزمن 
والقيادة وغيرها من المبادرات. فسواء كانت عمليات حوكمة تقنية المعلومات في المؤسسة قد 
تطورت بشكل غير مقصود نتيجة للعمليات التحسينية والتطويرية أو بشكل مقصود نتيجة 
لمشروع مدروس. فإن الأسئلة التي يجب أن يسألها المدير الأول (الأعلى) هي: إلى أي مدى 
كانت عَمَليات حوكمة تقنية المعلومات التي أجريها مفيدة في غملية تقديم قيمة للأعمال 
الإستراتيجية بشكل فعال عاماً بعد عام؟ وهل العمليات التي أجريها هكن تكرارها والتنبؤ بها 
وتعظيمها؟ وهل هي تلبي حقاً احتياجات أعمالي وعملاني (بعيداً عن تبني تقنية ا معلومات)؟ 
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أهمية حوكمة تقنية المعلومات لجميع المؤسسات 


ومن غير المرجح أن تصلح عملية حوكمة تقنية معلومات واحدة لخدمة جميع أعمال 
تقنية ة المعلومات ' في المؤسسة مقارنة بصلاحيتها لخدمة كل عميل من عملاء المؤسسة 
بحيث يكون راضياً تماماً عن المنتج نفسه أو عن تهيئة تقديم المنتج أو الخدمة التي تنتجها 
المؤسسة. ونتيجة لذلكء يلزم أن تأخذ في الاعتبار عددا من العمليات المرتبطة بحوكمة 
تقنية المعلومات. إن هذه المجموعة المتكاملة من عمليات حوكمة تقنية المعلومات 
المتاحة هي ما نطلق عليه في فصول هذا الكتاب اسم الصورة الكاملة الكبيرة لحوكمة 
تقنية المعلومات .IT (Governance Landscape)‏ 

إن حوكمة تقنية ال معلومات ما هي إلا مجموعة جزئية من حوكمة المؤسسة. حيث تقوم 
وعلى أعلى مستوى بتحديد الاحتياجات التي يجب إنجازها من خلال تحسين العمليات 
الإدازية الشاملة. :وتحيط حوكمة تقنية اللحلومات: ذاتياً بالنظم والبنية التحتية الشاملة 
لتقنية المعلومات والاتصالات. إن حوكمة تطوير منتج ماء مثل حوكمة تقنية المعلومات» 
تعتبر مجموعة فرعية من حوكمة المؤسسة وتتداخل مع حوكمة تقنية المعلومات. ولا 
تستهدف استخدام حوكمة تطوير المنتجات إلا المؤسسات التي تطور المنتجات (خلافاً لتقديم 
خدمة تقنية امعلومات الوارد تناولها في الفصل السابع عشر من هذا الكتاب على سبيل 
المثال). ولذلك ينبغي تطبيق حوكمة تطوير تقنية المعلومات في إدارات وبرامج التطويرء 
تلك الحوكمة التي تعتبر مجموعة فرعية من حوكمة تطوير تقنية المعلومات والمنتجات. 

تقدم الفصول التالية من هذا الكتاب وتصف لنا عدة أطر ومفاهيم مهمة 
بمسميات مثل كوبت (008171) وآيتل (1111). يفهمها جيداً المتخصصون في تقنية 
المعلومات أكثر من المديرين التنفيذيين في المئؤسسة. وعلى كل حال» فكل تلك الأمور 
تعتبر بمثابة أدوات وعمليات مهمة لتحسين حوكمة تقنية المعلومات في المؤسسة 
وتطويرهاء كما سيناقش الفصل الثاني. وفي عامنا ا متمركز حول تقنية المعلومات اليوم 
يجب أن تدرك السلطة التنفيذية العليا في المئؤسسة أهمية حوكمة تقنية ا معلومات 
ومفاهيم أنشطة الامتثال وإدارة المخاطر المرتبطة بتقنية المعلومات. وهو ما يعتبر 
الهدف العام لهذا الكتاب. 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات ۳۹ 


۳. 


الفصل الثاني 
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كما ناقشنا في الفصل الأول فإن مصطلح حوكمة تقنية المعلومات المؤسسية ليس با لمصطلح 
الجديد. لكنه عبارة عن مفهوم له معاني مختلفة بالنسبة لأشخاص مختلفين. وقد استمر 
تطور مفهوم الحوكمة المؤسسية خلال السنوات الأخيرة خاصة في الولايات المتحدة. واستجابة 
لسلسلة من عمليات الاحتيال والإخفاقات التي كانت قد تعرضت لها المؤسسات خاصة في 
العقود الأخيرة من القرن الماضيء فقد كان هناك تركيز كبير على عملية تحسين مدونات 
قواعد السلوك في المؤسسة وإنشاء ما يسمى بإدارات أخلاقيات العمل. وقد شارك مؤلف 
هذا الكتاب في قضايا حوكمة الشركات عندما أوكل إليه إدارة التدقيق الداخلي في واحدة 
من كبرى الشركات الأمريكية. حيث طلبّ منه أن يرأس فريق العمل ويقود الشركة للقيام 
راج الحديذ من :القؤاعة الداعلية وإعادة ضباغة مدو القوامن السلوكية وامكتجدات 
إدارة لمتابعة أخلاقيات العمل في الشركة. وقد كان ذلك استجابة للتهديد الرئيسي الناجم 
عن الدعاوى القضائية جراء الاحتيال الذي طال المستهلكين. وقد تم تأسيس ممارسات قوية 
للحوكمة المؤسسية في تلك الشركة رغم أن هذه الممارسات كانت تركز أكثر على العمليات 
التشغيلية العامة مع قليل من التركيز على نظم تقنية المعلومات وعملياتها التشغيلية. 

لقد أصبحت قضايا الحوكمة المؤسسية ذات أهمية متزايدة في السنين الأولى من القرن 
الحالي عندما شهدت الولايات المتحدة سلسلة من الإخفاقات لكبرى الشركات والذي كان 
السبب الرئيسي لها بشكل عام هو الغش المحاسبي والاحتيال المالي. وكانت الشركة التي 
غرفت بالسمعة السيئة في تلك الفترة هي شركة إنرون 82702 التجارية. فقد كان الإخفاق 
المفاجئ وغير المتوقع لتلك الشركة ناتجا عن الاحتيال المالي الذي تسبب في الزج بالعديد 
من المديرين التنفيذين للشركة في السجون. وقد عَجَّل هذا الإخفاق لشركة إنرون في 
إقرار قانون ساربينز أوكسلي ×80 في الولايات المتحدة الأمريكية» وكذلك في إيجاد مطالب 
مماثلة في جميع أنحاء العالم. ستقدم الأجزاء التالية من هذه الوحدة محة عامة عن 
الضوابط الداخلية لقانون ×50 والتشريعات القانونية للحوكمة. 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات ۳ 


الفصل الثاني 


تسلك المفاهيم العامة للحوكمة التي ناقشناها في الفصل الأول اتجاهاً مغايراً بعض 
الشيء عندما نقوم بتقديم مفاهيم ونظم تقنية المعلومات ووضعهما في مزيج واحد. 
فالعديد من المفاهيم العامة لدينا حول حوكمة الإدارة قد تأسست واكتملت نوعاً ما في 
التغبق الأخيرامن القرن العشرين. ‏ فوضعت معارين وكدّلك مماسات العمل بين 'الإذارة 
والمدققين الخارجيين والهيئات التنظيمية. 

بالإضافة إلى إعطاء لمحة عامة حول المفاهيم الخاصة بقانون ×80 فإن هذا الفصل 
سيقدم أيضاً عرضاً رفيع المستوى لقضايا حوكمة تقنية المعلومات» متضمناً ذلك قضايا 
المؤسسة التشريعية والأمنية وا مخاطر المرتبطة بتقنية المعلومات. كما سيناقش هذا الفضل 
التهديدات الداخلية والخارجية التي تؤثر في عمليات حوكمة تقنية المعلومات المؤسسية 
إضافة إلى بعض خصائص الحوكمة الفعالة لتقنية المعلومات في المؤسسة. ويستعرض هذا 
الفصل أيضاً كلاً من المفاهيم العامة والخاصة لحوكمة تقنية المعلومات التي تُطبق على 
كبار المديرين اليوم. وسيتم الرجوع إلى العديد من هذه المفاهيم لاحقاً ومناقشتها بمزيد 
من التفصيل في فصول أخرى. 


قانون ساربينز أوكسلي ×50: 

قانون ×80 هو قانون أمريي كان قد صدر عام ۲٠١۲‏ لتحسين عمليات إعداد التقارير 
المالية والتدقيق والحوكمة المؤسسية في الشركات العامة. وقد كان لهذا القانون في البداية 
أثر كبير في الأعمال في الولايات المتحدة: أما الآن فقد تم الاعتراف به واعتماده في جميع 
أنحاء العالم. وعلى الرغم من أن قواعد التدقيق والرقابة الداخلية لهذا القانون قد أسهمت 
وبشكل مباشر في تغيير العديد من ممارسات التدقيق الخارجي والممارسات المالية الخاصة 
بتقنية المعلومات» فإنه كان لهذا القانون أثر كبير أيضاً في حوكمة تقنية المعلومات. إن 
الفهم العام لهذا القانون من خلال التركيز على البند ٠٠٤‏ واممتعلق بقواعد الرقابة ا محاسبية 
الداخلية يعد مطلب معرفي رئيسي بالنسبة لجميع كبار المديرين. 

لقد أصبح قانون :50 قانوناً أمريكياً استجابة لسلسلة من المخالفات المحاسبية 
والإخفاقات المالية التي كانت قد تعرضت لها في السابق شركات كبرى كإنرون E8۸٥۸‏ 
وورلد كوم 1101140023. وقد تسبب قانون ×50 في إحداث العديد من التغيرات 
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الرئيسية التي كانت قد أثرت في عمليات حوكمة الشركات والعمليات المحاسبية وعمليات 
تدقيق التقارير المالية -بداية في الولايات المتحدة وحاليًا في جميع أنحاء العالم. وعلى 
الرغم من أن قانون ×50 عبارة عن مجموعة شاملة من التشريعات التي تحتوي على 
العديد من المكوناتء فإن الجزء الأعظم من اهتمام الأعمال والمدققين الخاضعين لهذا 
القانون قد انصب على البند ٠٠٤‏ منه والمتعلق بقواعد تصديق أو إقرار الخضوع للرقابة 
الداخلية. وقد تسببت هذه الإجراءات المتعلقة بتدقيق الرقابة الداخلية في بذل المزيد 
من الجهد والاهتمام عندما بدأت الشركات بإقرار الالتزام بقانون ×50. يقدم هذا 
القسم نظرة عامة رفيعة المستوى عن قانون :50 الموجود حالياًء مع التركيز أكثر على 
البند ٠٠٤‏ منه والقواعد الأكثر أهمية بالنسبة لقضايا حوكمة تقنية المعلومات. وسنلخص 
متطلبات هذا القانون الخاصة بمراجعات الضوابط المحاسبية الداخلية» كما سنلخص أحد 
معايير التدقيق الخارجي الذي يعتبر جديداً نسبياً والذي يطلق عليه معيار التدقيق رقم 
»Auditing Standard No. 5 )455 5(‏ وهو مجموعة إضافية من طرق الرقابة القانئمة 
على المخاطر والذي يؤكد أيضا أهمية القيام مراجعات للضوابط الداخلية للتقارير الطالية. 
بناء على ما تقدم فإنه يجب أن يكون لدى جميع كبار المديرين في المؤسسة مستوى عام 
من المعرفة والفهم الخاصة بقواعد الرقابة الداخلية لقانون 7501" 
العناصر الأساسية لحوكمة تقنية المعلومات الخاصة بقانون <:50: 

إن الاسم الرسمي لقانون ×50 هو قانون إصلاح المحاسبة العامة وحماية المستثمرين 
.)Public Accounting Reform and Investor Protection Act)‏ وقد أصبح قاو 
تشريعياً في شهر أغسطس عام ۲١٠۲م»‏ وتم إصدار معظم القواعد واللوائح التنظيمية 
التفصيلية النهائية لهذا القانون مع نهاية العام التالي. ولأن اسمه يبدو طويلاً بعض 
الشيء» فقد أطلق عليه رجال الأعمال اسم قانون ساربنز أوكسلي ×50 نسبة لأسماء 
أعضاء الكونجرس الأمريكي الأساسيين الرعاة لهذا القانون. يشير أغلب المهنيين بشكل 
عام إلى هذا القانون باسم ×50 أو ×50 أو :5350 وذلك من بين العديد من الأسماء 
الأخرى. 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات r‏ 


الفصل الثاني 


لقد قدم قانون ×50 مجموغة من العمليات المختلفة كلياً فيما يخض الرقابة الخارجيةء 
كما قام باسناد العديد من المسئوليات الجديدة للحوكمة إلى كبار المديرين التنفيذيين 
وأعضاء مجلس الإدارة. كما تم موجب هذا القانون إنشاء مجلس الإشراف المحاسبي على 
الشركات المساهمة Public Company Accounting Oversight Board (PCAOB)‏ 
وهو الهيئة المسؤولة عن وضع القوانينء وهو خاضع لهيئة الأوراق ال مالية والبورصة 
الأمر يكية Securities and Exchange Commission (SEC)‏ وهي الهيئة التي تقوم 
بإصدار المعايير الخاصة بالتدقيق المالي والإشراف على حوكمة المدقق الخارجي. وكما هو 
الحال بالنسبة لجميع القوانين الاتحادية المتعلقة بالأموال والسندات ال ماليةء فقد تم تطوير 
مجموعة إضافية من اللوائح والقوانين الإدارية من قبل هيئة الأوراق المالية والبورصة 
الأمريكية وذلك استناداً إلى تشريعات 501 

يتم تنظيم وإصدار القوانين الاتحادية الأمريكية على شكل أقسام منفصلة بداخل 
القانون التشريعي تسمى أبواب» ويندرج تحت كل باب مجموعة من البنود المرقمة 
والبنود الفرعية. ويشتمل قانون ×50 على العديد من القواعد التي ليست بتلك الأهمية 
الكبيرة بالنسبة للعديد من ال مهنيين. نذكر على سبيل المثال البند 1٠۲‏ (د) من الباب الأول 
والتي تنص على أنه يجب على هيئة الأوراق المالية والبورصة الأمريكية أن تضع الحد 
الأدنى من معايير أو قواعد السلوك المهني الخاصة بالمحامين الممارسين والتابعين للجنة 
مراقبة عمليات البورصة” . وقد يكون من الجيد أن نعرف أن هذا الأمر ليس له أي 
تأثير يذكر في إدارة المؤسسة وحوكمة تقنية المعلومات. يوجز الشكل التوضيحي (1-7) 
الأبواب أو البنود الرئيسية لقانون 50, علما بأن تركيزنا سيكون فقط على الباب الأول 
والرابع من القانون. فلسنا بصدد وصف جميع بنود قانون 50 أو إعادة نشر النص 
الكامل لهذا التشريع الذي يمكن أن نجده على شبكة الويب”» وإنما نهدف إلى تسليط 
الضوء على الأجزاء الأكثر أهمية بالنسبة للمهنيين المعنيين بهذا القانون. وسنبدأ بمناقشة 
الباب الأول من قانون ×80 والخاص مجلس الإشراف المحاسبي على الشركات المساهمة 
2808 وقواعد البند 6٠ع.‏ 
* وهي أحد بنود الباب السادسء وتنص على وضع قيود تحد من ممارسة المهنيين بصفة وسيط أو مستشار 

أو تاجر (المترجم). 
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شكل توضيحي (۱-۲) 


موجز الأحكام الرئيسية لقانون <501. 


ا مساهمة 50848©078. | ا مجلس. 

مراقبة شركات الجدول الزمني لعمليات التفتيش التي يقوم بها مجلس الإشراف 
المحاسبي على الشركات المساهمة 20408 على شركات المحاسبة 
العامة ا مسجلة. 
سيقبل مجلس الإشراف المحاسبي على الشركات المساهمة 
08 معايير التدقيق الحالية إلا أنه سيقوم بإصدار معايير 
جديدة له. 
تحدد الممارسات المحظورة على شركات ال محاسبة كالاستعانة مصدر 
خارجي لعملية التدقيق الداخلي (تعهيد التدقيق الداخلي)» أو 
مسك الدفاتر المحاسبية أو تصميم النظم المالية. 


۳ | تناوب شريك التدقيق | يجب تبديل المدقق الرئيسي والمدقق المراجع بشكل منتظم كل 
خمس سنوات. 


مسؤولية الشركات عن | يجب أن يصدق كل من الرئيس التنفيذي ©08 والمدير ا مالي 
التقارير المالية. | 80© شخصيا على جميع التقارير المالية الدورية. 


إذا تم تلقي مقابل أو مكافأة كجزء من عملية احتيالية أو عملية 
محاسبية غير قانونية» فإن الموظف أو المدير المستفيد مطالب 
بإعادة الأموال التي تلقاها بشكل شخصي. 


تقارير الرقابة الداخلية | الإدارة هي المسؤولة عن التقييم السنوي للضوابط الداخلية. 
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تحسين مراجعة | قد تقوم هيئة الأوراق المالية والبورصة الأمريكية بوضع إطار 


الإفصاحات المالية. | زمني لعدة مراجعات للمعلومات امالية المدونة بالتقارير استناداً 
إلى عوامل محددة. 
الإفصاح في الوقت | يجب أن توزع التقارير ا مالية بطريقة سريعة وفورية. 
الحقيقي 
محظورات الموظف أو | قد تمنع هيئة الأوراق المالية والبورصة الأمريكية المدير أو الموظف 
المدير من العمل في شركة عامة أخرى في حال كان مدان في إحدى 
المخالفات. 





الباب الأول من قانون ×50: مجلس الإشراف المحاسبي على الشركات 
المساهمة 204017: 

قدم قانون ×50 قواعد جديدة وهامة للمدققين الخارجيين. فقبل ظهور قانون 
501 كان المعهد الأمريكي للمحاسبين القانونيين AICPA (American Institute Of‏ 
)۳etified Public Accountants‏ هو المسؤول عن وضع الإرشادات لجميع المدققين 
الخارجيين وشركات المحاسبة العامة التي يعملون بها وذلك من خلال مسؤوليته الكاملة 
عن شهادة المحاسب القانوني (024) .Certified Public Accountant‏ وبينما قامت 
مجالس المحاسبة في الولايات في الواقع باعتماد محاسبين قانونيين 0248. كان المعهد 
الأمريي للمحاسبين القانونيين هو السَتّباق في حمل كامل المسؤولية الخاصة بالمهنة. 
كماتم أيضاً وضع معايير التدقيق الخارجي من قبل مجلس معايير التدقيق عنازd Au‏ 
Standards Board (ASB)‏ التابع للمعهد الأمريكي للمحاسبين القانونيين 41024. 
وعلى الرغم من أن المعايير الأساسية - التي يطلق عليها اسم معايير التدقيق المقبولة 
قبولا عاما Generally Accepted Auditing Standards (GAAS)‏ -كانت موجودة 
ذاقنا ومعمولاً بها عان :مر :السعينء إلاأن: هناك مغايير تدقيق أخحداث قد ف إضدارها 
على شكل نشرات مرقمة عن معايير التدقيق "das‏ ه†؟ Statements on Auditing‏ 
(5۸55): لقن كان الكثير من :محابير'التدقيق 'اللقبولة قول غاما فه6 مجرد ممازسات 
جَيَدَة للقذقيق: مل أنه يحت أن تكون المعاملات المحاسبية مدعومة بالوثائق اللازمة: في 
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حين تناولت النشرات المرقمة لمعايير التدقيق 5455 مجالات معينة بحاجة إلى مزيد من 
التوضيح أو التعريف. كالنشرة المعيارية رقم ٩٩‏ 99 .710 545 التي تناولت الاعتبارات 
المتعلقة بالعمليات الاحتيالية في القوائم المالية. حيث تشترط قواعد السلوك المهني 
الخاصة بالمعهد الأمريكي للمحاسبين القانونيين وجود محاسبين قانونيين (0288) لاتباع 
جميع معايير التدقيق (القابلة للتنفيذ) والتوافق معها. 

وقد قامت هة الأوراق الكالية والبورضة الأمريكيّة يقبول محا التدفيق اللقيولة شولا 
عاماً والخاصة با معهد الأمريي للمحاسبين القانونيين (04245 810245) ونشرات معايير 
التدقيق 545 الخاصة بها. وقد حددت قواعد التدقيق هذه. معايير التدقيق الخارجي 
والاختبارات الضرورية التي يجب تطبيقها على القوائم المالية الخاضعة للتدقيق. من جهة 
أخرى. أشارت الفضائح المحاسبية التي أدت إلى إصدار قانون ×80 إلى أن عملية إنشاء 
معايير التدقيق التي يقودها المعهد الأمريكي للمحاسبين القانونيين قد "عغطلت". وقد انتزع 
قانون ×80 عملية وضع معايير التدقيق هذه من ال معهد الأمريكي للمحاسبين القانونيين 
والتي كانت خاضعة لهيمنة شركات المحاسبة العامة الكبرىء كما عمل القانون على إنشاء 
مجلس الإشراف المحاسبي على الشركات المساهمة: وهو مؤسسة غير اتحاديةء وغير ربحية 
تقع على عاتقها مسؤولية الإشراف على جميع عمليات التدقيق الخاصة بالشركات التي 
تخضع لهيئة الأوراق امالية والبورصة الأمريكية. 

إن مجلس الإشراف المحاسبي على الشركات المساهمة 20808 ليس بديلاً عن المعهد 
الأمريكي للمحاسبين القانونيين 41٥۶۸‏ ولكنه تولى المسؤولية عن ممارسات التدقيق 
الخارجي التي يقوم بها الأعضاء التابعون للمعهد الأمريكي للمحاسبين القانونيين. ولا يزال 
المعهد الأمريي للمحاسبين القانونيين مستمراً في إدارة اختبار المحاسب القانوني المعتمد 
4 وشهاداته التي تمنح تبعاً لكل ولايةء كما يقوم المعهد أيضاً بوضع معايير التدقيق 
للمنظمات الأمريكية الخاصة غير الخاضعة لهيئة الأوراق المالية والبورصة الأمريكية. وبينما 
يحدد الباب الأول من قانون ×50 ممارسات التدقيق الخاصة مجلس الإشراف المحاسبي على 
الشركات المساهمة التي يقوم بها المدققون الخارجيونء نجد أن القواعد الأخرى لعمليات 
التدقيق وحوكمة الشركات قد أسهمت أيضاً في تغيير الكيفية التي ينسق بها المدققون 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات ا 


الفصل الثاني 


الداخليون أعمالهم مع المدققين الخارجيين. وعلى الرغم من أن الباب الأول من قانون 501 
يحتوي على العديد من القواعد الجديدةء قد تكون القواعد الثلاث الأكثر أهمية بالنسبة 
للعديد من كبار المديرين هي أن مجلس الإشراف المحاسبي على الشركات المساهمة حالياً 
هو من تقع على عاتقه المسئولية الرئيسية عن مراقبة شركات المحاسبة العامة وهو الذي 
يقوم أيضا بوضع القواعد الخاصة بمعايير التدقيق الخارجي لهذه الشركات » ويقوم كذلك 
بوضع قواعد معايير التدقيق كالاحتفاظ بأوراق العمل. تصف الفقرات التالية بإيجاز 
قواعد عملية التدقيق الخارجي تلك والواردة في الباب الأول من قانون 1 50. 


إدارة مجلس الإشراف المحاسبي على الشركات المساهمة 20408 وتسجيل شركات 
المحاسبة العامة: يدار مجلس الإشراف المحاسبي على الشركات المساهمة من خلال مجلس 
مُعين من قبل هيئة الأوراق ال مالية والبورصة الأمريكية بعضوية مشروطة غير خاضعة 
لهيمنة مصالح المحاسبين القانونيين 024 وشركات المحاسبة العامة. ويكون مجلس 
الإشراف المحاسبي على الشركات المساهمة هو المسؤول عن الإشراف على جميع شركات 
المحاسبة العامة التي كانت تمارس عملها قبل إنشاء هيئة الأوراق المالية والبورصة الأمريكية 
وتنظيمهاء كما أنه مسئول أيضاً عن وضع معايير التدقيق. 

معايير التدقيق ومراقبة الجودة والاستقلال: يمتلك مجلس الإشراف المحاسبي على 
الشركات المساهمة سلطة وضع معايير التدقيق والتوثيق المتعلقة بهاء وكذلك معايير 
مراقبة الجودة وأخلاقيات العمل في شركات المحاسبة العامة المسجلة. كما يعترف قانون 
50 بمعايير التدقيق التي كانت قد صدرت في السابق عن المعهد الأمريكي للمحاسبين 
القانونيينء وقد أصدر هذا القانون حتى الآن عددا محدودا من المعايير الجديدة» كمعيار 
التدقيق رقم 0 455 الخاص مراجعة وتقييم الضوابط الداخلية. وتوضح قواعد قانون 
×80 أيضا أنه يجب أن يتضمن تقييم المدقق الخارجي وصف نقاط الضعف الجوهرية 
وكذلك جميع الأمور الخاصة بعدم الامتثال الجوهري التي تم الكشف عنها. فالمدققون 
الخارجيون مطالبون بتعديل فاعلية الضوابط الداخلية. وغياب مثل هذا التوثيق يجب 
اعتباره أحد نقاط الضعف في الضوابط الداخلية. 


۳۸ دليل المستول التنفيذي لحوكمة تقنية المعلومات 


المفاهيم الآساسية للحوكمة وقواعد قانون ساربينز أوكسلي ×80 


الاحتفاظ بأوراق عمل التدقيق: أوراق العمل هي الوثائق التي أعدت بواسطة المدققين 
خلال عملية التدقيق. ووفقاً معيار التدقيق رقم ٠"‏ 453 الصادر عن مجلس الإشراف 
المحاس بي على الشركات المساهمة والخاص بوثائق التدقيق: فإنه يجب الاحتفاظ بأوراق 
العمل الخاصة بالتدقيق وغيرها من الوثائق الداعمة لفترة زمنية لا تقل عن سبع سنوات. 
وقد جاء هذا المطلب بالتأكيد رداً على حدث مؤسف كان قد وقع قبيل سقوط شركة إنرون 
ومن ثم سقوط آرثر أندرسون 4۸4٠۲۵۸‏ 4۲1۲ء وهو مكتب التدقيق الخارجي للشركة. 
فقد كانت شركة إنرون لا تزال تعمل» ولكنها تعاني بعض الضغوطات الالية عندما أعلنت 
هيئة الأوراق المالية والبورصة الأمريكية بأنها تنوي إجراء معاينة فعلية (لوثائق التدقيق). 
وعلى إثر ذلك قام (مدققو مكتب) آرثر أندرسونء المدقق الخارجي للشركةء باستخدام 
إحدى السياسات الداخلية للشركة لتبرير عملية إتلاف جميع بل معظم وثائق التدقيق 
الحالية الخاصة بالشركة. وكان هذا الحدث أحد العوامل المحفزة التي أدت إلى وجود هذه 
القاعدة في قانون ×80. 

نطاق اختبار الضوابط الداخلية: تشترط مبادئ مجلس الإشراف المحاسبى على الشركات 
العامة وجود مدققين خارجيين يقومون بوصف نطاق كل من عمليات الاختبار ونتائجها. 
فقبل ظهور قانون :50 كان المدققون الخارجيون أحياناً يقومون باستخدام السياسات 
الداخلية للشركة لتبرير العديد من الاختبارات التي يجرونها على عينات صغيرة من العناصء 
فقد جرت العادة بأن يقوموا بإجراء اختباراتهم على عينات صغيرة من الأشخاص بالرغم 
من وجود عدد كبير من الذين يمكن إخضاعهم لعمليات الاختبار. وعندما تظهر النتائج 
الإيجابية للاختبارات وهم تظهر أية مشكلات» فإنهم يقومون بتعميم تلك النتائج الخاصة 
بالاختبارات التي أجريت على العينة الصغيرة على جميع العناصر أو الأشخاص. أما الآن 
فيجب عليهم إعطاء مزيد من الاهتمام لكل من نطاق ومعقولية إجراءات الاختبار لديهم» 
ويجب أن :تصق الْوَائَق اللسائدة بوضتوج نظاق :وقد أنشظة الاختبار: 


الباب الرابع لقانون 50'5: الإفصاحات المالية المعززة والبند 606: 
التقارير المالية» والتشديد على القواعد الخاصة بتضارب المصالح بالنسبة الموظفي ومديري 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات 8۹ 


الفصل الثاني 


الشركة. وتفويض الإدارة بتقييم الضوابط الداخلية. وإصدار مدونة قواعد السلوك لكبار 
الموظفين وغيرها من القضايا. يوجد العديد من البنود في هذا البابء إلا أن البند الأكثر 
أهمية بالنسبة ممعظم كبار المديرين هو البند ٠٠٤‏ والذي يدور حول تقييم الإدارة للضوابط 
الداخلية. يشترط قانون ×50 أن تحتوي جميع تقارير (©101)' السنوية على تقرير الضوابط 
الداخلية الذي ينص على مسئولية الإدارة عن إنشاء نظام مناسب للضوابط الداخلية والحفاظ 
عليهء وكذلك تقييم الإدارة لمدى فاعلية تلك الإجراءات الموضوعة للضوابط الداخليةء وذلك 
اعتباراً من تاريخ انتهاء السنة المالية. هذا ما يُعْرَف عموماً بقواعد البند .٤٠٠٤‏ ويتحمل كل 
من المدققين الداخليين ومدققي تقنية المعلومات والاستشاريين الخارجيين وحتى الفريق 
الإداري - باستثناء المدققين الخارجيين - المسئولية عن مراجعة وتقييم فاعلية الضوابط 
الداخلية لديهم» ثم يأتي بعد ذلك دور المدققين الخارجيين للتصديق على مدى كفاية تلك 
المراجعات للضوابط الداخلية التي تم بناؤها ومراقبتها من قبل الإدارة. 

يتم دعم عمليات المراجعة الخاصة بالبند ٠٠٤‏ من قبل قواعد معيار التدقيق رقم 0 
5 والتي ستناقش لاحقاً في هذا الفصل» وهي تعد من الأمور الهامة وخصوصاً للمدققين 
الداخلين نظراً لأن هذه القواعد توضح أنه من ا ممكن للمدققين الخارجيين أن يقوموا بعمل 
المدققين الداخليين في مراجعاتهم للضوابط الداخلية. 

تنص قواعد البند ٤٠٤‏ من قانون ×80 على أن المؤسسة هي المسؤولة عن مراجعة 
وتوثيق واختبار الضوابط المحاسبية الداخلية لديهاء مع تمرير نتائج تلك المراجعات إلى 
المدققين الخارجيين للمؤسسة والمكلفين بمراجعة تلك الأعمال والتصديق عليها على أنها جزء 
من مهامهم المتعلقة بمراجعة القوائم المالية المعلن عنها. عندما تم سن قانون ×80 لأول 
مرةء كانت عمليات المراجعة الواردة في البند ٠6‏ هي نقطة الاهتمام الرئيسية بالنسبة 
للعديد من المؤسسات نظراً لأن المدققيين الخارجيين كانوا في السابق يتبعون مجموعة 
تفصيلية للغاية من الإجراءات الخاصة بعملية تدقيق المحاسبة المالية التي تم تحديدها في 
معيار التدقيق رقم ۲ 452 الخاص مجلس الإشراف المحاسبي على الشركات المساهمة» وهو 
(*) هو تقرير تطلبه هيئة الأوراق المالية والبورصة الأمريكية من الشركات للتأكد من مدى التزامهاء وهو عبارة 

عن تقرير مالي سنوي يعد من قبل الشركة في نهاية كل سنة مالية ويجب أن يكون مصدقا من ا محاسب 

القانوني الخاص بالشركة. (المترجم). 


3 دليل المستول التنفيذي لحوكمة تقنية المعلومات 





المفاهيم الآساسية للحوكمة وقواعد قانون ساربينز أوكسلي <50 


الأمر الذي يحتاج إلى نهج تفصيلي للمراجعة لا يسمح بأي أخطاء أو هفوات حتى لو كانت 
صغيرة. وقد تغيرت بعد ذلك قواعد التدقيق الواردة في البند ٤٠٠٤‏ مع صدور معيار التدقيق 
رقم ١‏ 455 من مجلس الإشراف المحاسبي على الشركات اللمساهمة في عام ٠٠١۷‏ والذي 
يعد أحد أساليب التدقيق القائمة أكثر على المخاطر, كما يسمح أيضاً للمدققين الخارجيين 
باستخدام أعمال المدققين الداخليين في إجراء التقييمات الخاصة بهم على نحو أفضل. 


البند ٠٠٤‏ تقييمات الضوابط الداخلية: 
كانت الإدارة دائماً هي التي تتحمل المسؤولية الكاملة عن تصميم وتطبيق ضوابط 
الرقابة الداخلية على عمليات التشغيل داخل المؤسسة. وعلى الرغم من أن معايير تكوين 
الضوابط الداخلية الجيدة لم تكن دائماً محددة بشكل جيد في الماضيء إلا أنها بقيت أحد 
المفاهيم الرئيسية للإدارة. يشترط البند ٤٠٤‏ من قانون SOX‏ القيام بإعداد تقرير سنوي عن 
الضوابط الداخليةء يشتمل على عناصر المعلومات التالية» على أنها جزء من نموذج التقرير 
السنوي 101 الذي تم فرضه من قبل هيئة الأوراق المالية والبورصة الأمريكية. 
- بيان رسمي من الإدارة يقر بمسئولية المؤسسة عن إنشاء وصيانة هيكل وإجراءات مناسبة 
للرقابة الداخلية الخاصة بالتقارير المالية. 
- تقييم لفاعلية بنية وإجراءات الرقابة الداخلية للتقارير المالية في ا مؤسسة» اعتباراً من 
نهاية آخر سنة مالية. 
وبالاضافة إلى ذلك فإن مكتب التدقيق الخارجي الذي قام بإصدار التقرير الداعم 
للتدقيقء مطالب هو الآخر بمراجعة تقييم الإدارة للضوابط المالية الداخلية الخاصة بها 
والإفصاح عن النتائج. نستطيع القول ببساطة إن الإدارة مُطالبة بالإعلان عن جودة ضوابط 
الرقابة الداخلية لديهاء كما يجب على شركة المحاسبة العامة أن تدقق أو تصادق على أن 
الإدارة قد قامت فعلاً بتطوير تقرير عن الضوابط الداخلية بالإضافة إلى عملها الطبيعي 
والخاص بتدقيق القوائم المالية. لقد جرت العادة بأن تكون الإدارة هي المسئولة عن إعداد 
تقاريرها المالية الدورية» ثم ياي بعد ذلك دور المدققين الخارجيين الذين يقومون بتدقيق 
تلك الأرقام المالية والتصديق على سلامتها. فبموجب البند 06 من قانون ×50 تكون 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات لق 


الفصل الثاني 


الإدارة هي المسؤولة عن توثيق وفحص الضوابط المالية الداخلية لديها وكذلك الإفصاح عن 
مدى كفاءتها. ثم يقوم المدققون الخارجيون بعد ذلك مراجعة المواد الداعمة التي نتج 
عنها هذا التقرير الخاص بالضوابط المالية الداخلية للتأكيد على أن هذا التقرير ما هو إلا 
وصف دقيق لبيئة الرقابة الداخلية. 

بالنسبة لمدقق القوائم غير المالية وبالتأكيد بالنسبة للعديد من كبار مسؤولي الأعمال 
التنفيذيينء قد يبدو ذلك مطلباً غامضاً أو تافهاً بعض الشيء. حتى إن بعض المدققين 
الداخليين المنشغلين بالدرجة الأولى في عمليات التدقيق التشغيلية قد يتساءلون عن 
الفروقات البسيطة في هذه العملية. في جميع الأحوال» فإن تقارير التدقيق المتعلقة بحالة 
الضوابط الداخلية كانت نقطة خلاف مستمرة بين المدققين الخارجيين وهيئة الأوراق اطالية 
والبورصة الأمريكية وغيرها من الأطراف ا معنية على الأقل منذ عام .۱۹۷١‏ وكان جزء كبير 
من المشكلة هو عدم وجود تعريف متفق عليه يوضح المقصود بالضوابط الداخلية. 

يصف إطار الرقابة الداخلية الصادر عن لجنة ا منظمات الراعية Committee Of‏ 
Organiations )0050(‏ ع0501128م5: الذي ستتم مناقشته في الفصل الرابع من هذا 
الكتاب المعيار ا معتمد لفهم الضوابط الداخلية. فبموجب البند 06 من قانون >80 
فإن الإدارة مطالبة بإعداد تقرير عن مدى ملاءمة ضوابطها الداخليةء مع تصديق المدققين 
الخارجيين على هذه التقارير التي أعدتها الإدارة عن الضوابط الداخلية. 

وتخضع هذه العملية إلى رقابة داخلية أساسية كمثال على أهمية الفصل بين المهام» لأن 
الشخص الذي يقوم بتطوير المعاملات لا ينبغي أن يكون هو الشخص نفسه الذي يوافق 
عليها. وبموجب إجراءات البند ٤٠٠٤ء‏ فإن المؤسسة هي التي تقوم ببناء وتوثيق عمليات 
الرقابة الداخلية لديهاء ثم تقوم بعد ذلك جهة مستقلة كالتدقيق الداخلي بمراجعة وفحص 
فلك الضوايظ الذاخليةء:وأغنيراً يقوم المدققون الخارجيون بمراجعة تلك العملية والتصديق 
على مدى كفايتها. وسوف تستند إجراءات التدقيق المالي الخاصة بهم إلى تلك الضوابط 
الداخلية. إن هذه العملية الواردة في البند ٠٠٤‏ تقوم بتحسين الأمور التي كانت موجودة 
في الأيام التي سبقت صدور قانون :50 عندما كان يقوم المدققون الخارجيون ببناء وتوثيق 
وتدقيق الضوابط الداخلية لديهم بشكل متكرر وهذا يعد خللاً في الفصل بين المهام. 


۲ دليل المستول التنفيذي لحوكمة تقنية المعلومات 


المفاهيم الآساسية للحوكمة وقواعد قانون ساربينز أوكسلي <50 
تحديد العمليات الرئيسية للبدء في مراجعة الإمتثال للبند 6 :2٠‏ 
لكل مؤسسة مجموعة من العمليات الأساسية تتعلق بدوراتها المحاسبية والتي من 
الطبيعي أن تُؤخذ في الاعتبارء سواء كان ذلك بالاعتماد على نظم تقنية ا معلومات أو على 
الإجراءات اليدوية التي يتم أداؤها بصورة منتظمةء وهذه العمليات هي: 
٠‏ دورة الإيرادات: وهي عمليات متعلقة بالمبيعات أو الإيرادات الأخرى للمؤسسة. 
٠‏ دورة النفقات المباشرة: هي عبارة عن نفقات المواد أو التكاليف المباشرة للإنتاج. 
٠‏ دورة النفقات غير المباشرة: عبارة عن تكاليف التشغيل التي لا هكن ربطها مباشرة 
بالأنشطة الإنتاجية ولكنها ضرورية لعمليات تشغيل الأعمال بشكل عام. 
٠‏ دورة الرواتب: تشمل كل مستحقات العاملين. 
٠‏ دورة المخزون: بالرغم من أن المخزون سيعتبر في نهاية المطاف كنفقات إنتاجية مباشرة, 
فإن هناك حاجة لعمليات زمنية للحفاظ على المخزون لحين دخوله في الإنتاج. 
٠‏ دورة الأصول الثابتة: تحتاج ا ممتلكات والمعدات إلى عمليات محاسبية منفصلةء مثل 
(المحاسبة الدورية للإهلاك) بمرور الزمن. 
٠‏ دورة الضوابط العامة لتقنية المعلومات: تشمل هذه المجموعة من العمليات ضوابط 
تقنية المعلومات العامة أو القابلة للتطبيق على جميع عمليات تشغيل تقنية المعلومات. 
يعد تحديد تلك العمليات المؤسسية الرئيسية خطوة مبدئية نحو تحقيق الامتثال للبند 
٤‏ لذلك يجب على المؤسسة أن توثق وتعي وتختبر كل تلك "العمليات الرئيسية". 
وبالنسبة للعديد من المؤسسات. فهذه هي النظم الرئيسية وعمليات تقنية المعلومات 
الداعمة لها التي تراجع سنوياً من خلال عمليات التدقيق الخارجي. 
دور التدقيق الداخلى: 
على الرغم من أن قانون ×80 لم يعط مسؤوليات محددة لعمليات التدقيق الداخلي» 
فإنها تعد مصدرا هاما لإتمام عمليات تقييم الضوابط الداخلية الواردة في البند .٤٠٤‏ بموجب 
قانون <50: فإنه يوجد إدارة مستقلة ومنفصلة في المؤسسة - تكون إدارة التدقيق الداخلي 
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أو تدقيق تقنية ا معلومات غالباً - تقوم بمراجعة وتوثيق الضوابط الداخلية التي تغطي 
العمليات الرئيسيةء وتحدد نقاط الرقابة الرئيسيةء وتقوم بعد ذلك باختبار هذه الضوابط 
المحددة. ومن ثم تقوم عملية التدقيق الخارجي بمراجعة هذا العمل وتصادق على مدى 
كفايته. وبالنسبة للعديد من المؤسسات. هكن اعتبار عملية تدقيق تقنية المعلومات بأنها 
أحد المصادر الرئيسية لإجراء تلك ا مراجعات الخاصة بالضوابط الداخلية بالنسبة للعمليات 
القائمة على التقنية. 

يجب أن تعمل الإدارة المالية العليا ولجنة التدقيق مع المدققين الخارجيين 
للمؤسسة لتحديد المسؤوليات الخاصة بمراجعات الضوابط الداخلية الخاصة بهم 
والواردة في البند .٤٠٠٤‏ وتجري هذه المراجعات سنوياً باستخدام الوثائق التي تم 
إعدادها واختبارها في أول سنة ماليةء ثم تَحَدَّتْ بعد ذلك ويعاد اختبارها في فترات 
لاحقة. لذا يجب على جميع الأطراف تطوير نهج فعال من حيث التكلفة لتحقيق 
متطلبات قانون ×50 وتقييم تطبيقات وضوابط تقنية المعلومات لديهم. 

يجب تخطيط وإجراء المراجعات الخاصة بالبند 06> من قانون ×50 على غرار 
العديد من المشاريع الجديدة في تقنية امعلومات» كما جاء في الفصل التاسع عشر 
الذي يدور حول دور التدقيق الداخلي في حوكمة تقنية المعلومات. الشكل التوضيحي 
(7-9) يوجز بعض اعتبارات التخطيط اللازمة لمراجعة الرقابة الداخلية الواردة في البند 
٤‏ على أن يتم تنفيذها من قبل المدققين الداخليين في المؤسسة: والذين بإمكانهم 
أن يلعبوا دوراً أساسياً في مساعدة الإدارة العليا على تحقيق الامتثال مع ما ورد في 
البند .٤٠٠٤‏ نحن لا نهدف هنا إلى توفير إرشادات للتدقيق الداخلي بقدر ما نهدف إلى 
إعطاء المدير الأول (الأعلى) فكرة عن تلك العمليات الخاصة بالتدقيق الداخلي لتقنية 
المعلومات. 
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شكل توضيحي (۲-۲) 

اعتبارات التخطيط لمراجعة الضوابط الداخلية الواردة في البند >٠٤‏ 
حدد حالة المراجعة - هل هذه هي الجولة الأولى من المراجعات الواردة في البند 206 بالنسبة 
للمؤسسة وسيتم متابعتها في السنوات اللاحقة؟ 
إذا كانت هذه هي المراجعة الأولى (مراجعة جديدة) اتبع خطوات العمل اللازمة لفهم وتوثيق 
واختبار العمليات الرئيسية. خلاف ذلك. خطط للمراجعة في فترة لاحقة. 
قم مراجعة الوقائق التفضيلية للمراجعات النسايقة لبد 6:6 ؛ متضمناً ذلك خرائظ تدفق 
الإجراءات» وفجوات الرقابة الداخلية التي تم تحديدها ومعالجتهاء وكذلك الوثائق الشاملة 
لتخطيط المشروع والخاصة با مراجعة السابقة. 
قم بمراجعة أي من القواعد الصادرة عن مجلس الإشراف المحاسبي على الشركات المساهمة قد 
تم نشرها مؤخراً يمكن أن تغطي المراجعات الواردة بالبند ٠٠٤‏ وتتعلق بالتغيرات التي تطرأ 
على التدقيق» وقم بضبط إجراءات ا مراجعة بحيث تعكس تلك التغييرات. 
قم بالاجتماع مع مكتب التدقيق الخارجي المسئول عن التصديقات الحالية للبند ٤٠٤‏ وقم 
بتحديد ما إذا كان هناك أي تغيرات في الوثائق وفلسفة الاختبارء مع التأكيد على قواعد معيار 
التدقيق رقم ١‏ 455: من تلك المراجعة السابقة. 


ضع في الاعتبار أي تغييرات تنظيمية قد طرآت منذ ا مراجعة السابقة, متضمناً ذلك الاستحواذات 
أو العمليات الرئيسية لإعادة الهيكلة, وتعديل المدى الذي ستقوم المراجعة بتغطيتهء إذا 
اقتضت الحاجة ذلك. 


من خلال اللقاءات مع الإدارة العليا وإدارة تقنية المعلومات. حدد ما إذا كان هناك نظم 
وعمليات جديدة قد تم تنصيبها خلال الفترة الماضية» وإذا ما كانت هذه التغييرات الجديدة 
قد تم تدوينها في الوثائق المحدثة. 

قم بمراجعة أي من نقاط الضعف الخاصة بالرقابة الداخلية قد تم تعريفها في المراجعات 
السابقة وقم بتقييم ما إذا كانت إجراءات تصحيح الرقابة الداخلية المدونة بالتقرير يتم العمل 
بها على أرض الواقع. 

قم بتقييم حالة الوثيقة الحالية للبند 6٠6‏ وحدد مدى ضرورة إعداد وثيقة جديدة. 

على افتراض أن المراجعة السابقة للبند 2:6 قد تمت من قبل التدقيق الداخليء قم بتحديد 
العناصر المدربة وذوي المعرفة امناسبة والمتاحة لإجراء المراجعة القادمة. 
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قم بعمل مقابلات شخصية مع جميع الأطراف التي شاركت في إجراء المراجعة السابقة للبند 
٤‏ لتقييم أي دروس مستفادةء وقم بوضع خطط للاجراءات التصحيحية في المراجعة القادمة. 


استناداً إلى ا مناقشة التي تتم مع المدققين الخارجيين والإدارة العلياء قم بتحديد نطاق المعاملات 
الجوهرية للمراجعة القادمة. 

قم بتحديد ما إذا كانت البرمجيات - إن وجدت - المستخدمة في المراجعة السابقة لا تزال 
موجودة: وقم بعمل أي تغيرات ضرورية حتى يكون لديك الأدوات الكافية والجاهزة لإجراء 
المراجعة القادمة. 

قم بإعداد خطة تفصيلية لمشروع المراجعة القادمة للبند :»2٠6‏ في ظل وجود اعتبارات معينة 
لتنسيق أنشطة ال مراجعة لدى وحدات الأعمال في المؤسسة والمدققين الخارجيين. 

قم بإرسال الخطة للموافقة عليها من قبل الإدارة العليا. 








قواعد معيار التدقيق رقم 0 455 والتدقيق الداخلي: 

بعد فترة وجيزة من إقرار قانون ×80 في الولايات ا متحدةء أصدر مجلس الإشراف 
المحاسبي على الشركات المساهمة إرشادات معيار التدقيق رقم ۲ 452 والذي دعي فيه 
المدققون الخارجيون إلى اتباع أساليب محافظة وتفصيلية للغاية في تدقيقاتهم للقوائم 
المالية. فقد شدد معيار التدقيق رقم ۲ 452 على نهج التدقيق التفصيلي (انظر في كل 
شيء)» وأصبحت فواتير عملية التدقيق الخارجي أغلى بكثير مما كانت عليه في السنوات 
الأولى لإصدار قانون ×80 فضلاً عن ذلك فقد كانت هناك شكاوى متكررة من قبل قادة 
الصناعة وآخرين وكان هناك إجماع عام على أن معيار التدقيق رقم ۲ 452 يحتاج إلى بعض 
التنقيحات. وقد تم الاتفاق بين كل من هيئة الأوراق المالية والبورصة الأمريكية ومجلس 
الإشراف المحاسبي على الشركات المساهمة على تنقيح معيار التدقيق رقم ۲ 452: وتم 
إصدار معيار التدقيق رقم 0 في أواخر شهر مايو من عام /ا١٠لام.‏ 

معيار التدقيق رقم 0 455 هو مجموعة من المعايير الخاصة بالمدققين الخارجيين الذين 
يقومون بمراجعة واعتماد القوائم المالية المنشورة. وتعتبر هذه القواعد مهمة أيضاً بالنسبة 
للمدققين الداخليين. يقدم معيار التدقيق رقم 0 مجموعة من القواعد القائمة على المخاطر 
مع التركيز على كفاءة الضوابط الداخلية المعتمدة أكثر على أحداث وظروف المؤسسة. هذا 
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بالإضافة إلى أن معيار التدقيق رقم 0 يدعو المدققين الخارجيين أن يأخذوا بعين الاعتبار 

جميع مراجعات التقارير المناسبة الخاصة بالتدقيق الداخلي أثناء مراجعاتهم ا متعلقة 

بتدقيق القوائم المالية. حيث يسمح هذا المعيار للمدققين الخارجيين بأن يركزوا أكثر على 

قدرة الإدارة على إيجاد وتوثيق الضوابط الداخلية الرئيسية. 
إن لقواعد معيار التدقيق رقم 0 أهمية خاصة بالنسبة للمدققين الداخليين نظراً 

لإمكانية اعتماد المدققين الخارجيين على أعمال المدققين الداخليين في تقييماتهم وفقاً للبند 

.٤‏ للمعيار التدقيق رقم 0 ثلاثة أهداف رئيسية هي: 

-١‏ تركيز عمليات تدقيق الرقابة الداخلية على المسائل الأكثر أهمية: يدعو معيار التدقيق 
رقم 0 المدققين الخارجيين إلى أن يركزوا في مراجعاتهم على المجالات ذات المخاطر البالغة 
التي ستعجز الرقابة الداخلية عن منع أو اكتشاف التقارير غير الواضحة في البيانات 
المالية. إن هذا النهج يدعو المدققين الخارجيين أن يركزوا على تحديد نقاط الضعف 
الجوهرية في الرقابة الداخلية أثناء مراجعاتهم قبل أن تتسبب في وقوع أخطاء جسيمة 
في البيانات المالية. ويشدد معيار التدقيق رقم ه أيضاً على أهمية تدقيق المجالات 
العالية المخاطر. مثل عملية إقفال نهاية الفترة للقوائم امالية والضوابط المُصَمّمة لمنع 
الاحتيال من قبل الإدارة. وفي ذات الوقت يوفر هذا المعيار مجموعة واسعة من البدائل 
للمدققين الخارجيين لمعالجة المجالات المنخفظة المخاطرء كأن يكون ذلك عن طريق 
عرض أكثر وضوحاً لكيفية التدرج في توضيح طبيعة وتوقيت ومدى الاختبار اعتماداً على 
المخاطرء وكذلك كيف يتم تضمين المعرفة المتراكمة من عمليات التدقيق التي تمت في 
السنوات السابقة في تقييم المدققين للمخاطر. وأيضاً من المهم جداً بالنسبة للمدققين 
الداخليينء أن معيار التدقيق رقمه يسمح للمدققين الخارجيين باستخدام الأعمال التي 
تم تنفيذها من قبل المدققين الداخليين في المؤسسة عند الحاجة. 

؟- إزالة إجراءات التدقيق غير الضرورية لتحقيق المنافع المرجوة: لا يشتمل معيار 
التدقيق رقم ه على المتطلبات التفصيلية التي كانت موجودة في معيار التدقيق رقم ۲ 
2 السابق لتقييم عملية التقييم الخاصة بالإدارة ولتوضيح أن عملية تدقيق الرقابة 
الداخلية لا تستلزم المشورة حول مدى كفاية وملاءمة عمليات الإدارة. على سبيل ال مثالء 
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يركز معيار التدقيق رقمه على أبعاد المخاطر المترتبة على تعدد ال مواقع في المؤسسة 
ويقلل من المتطلبات التي تستوجب على المدققين الخارجيين بأن يقوموا بمراجعة "جزء 
كبير" من عمليات التشغيل أو الأوضاع المالية في المؤسسة. هذا من شأنه أن يسمح 
بتقليص أعمال التدقيق المالي. 

- توسيع نطاق عملية التدقيق الاي بشكل واضح لتتلائم مع حجم ومستوى التعقيد 
لأي مؤسسة: لتقديم الإرشادات الخاصة بعمليات التدقيق في المؤسسات الأصغر حجما 
والأقل تعقيداً يدعو معيار التدقيق رقم 0 إلى ضبط عمليات تدقيق الضوابط الداخلية 
بحيث تتناسب مع حجم ودرجة تعقيد المؤسسة التي يتم تدقيقها. فلهذا ا معيار 
إرشادات تتعلق بالكيفية التي يتم فيها تطبيق معيار التدقيق رقم 0 على المؤسسات 


الأشغر خجما والأقل تعقيدا وكذلك على :وخدات اللؤسسنات الأكر حجما: 

عقب إصدار معيار التدقيق رقم >١‏ قد يفكر المدققون الخارجيون في مسألة استخدام 
أعمال الآخرين للمساعدة في إتمام تدقيق الضوابط الداخلية للقوائم المالية طبقاً لقانون 
×80. وعلى الرغم من أن ذلك الأمر م يكن واضحاً كما يجب وفقاً لقواعد معيار التدقيق 
رقم ۲ 452 لقانون ×50 فإن معيار التدقيق رقم ه قد سمح بذلك الآن بشكل صريح. 
ينص معيار التدقيق رقم © على أنه بإمكان المدقق الخارجي أن يستخدم الأعمال المنجزة 
بواسطة» أو أن يتلقى مساعدة مباشرة منء المدققين الداخليين أو الموظفين الآخرين في 
الشركة أو الأطراف الخارجية التي تعمل تحت إشراف الإدارة أو لجنة التدقيق» وذلك 
لتقديم الأدلة الكافية على فاعلية الضوابط الداخلية للتقارير المالية. وقد كان ذلك تغييراً 
جوهرياً بالنسبة للمدققين الداخليين. 

من اللؤكد أن المدققين الخارجيين هم من يقومون بالتوقيع أو التصديق على نتائج 
التدقيق» ويجب عليهم أيضاً تقدير مدى كفاءة وموضوعية الأشخاص الذين يتم التخطيط 
لاستخدام أعمالهم من قبل المدققين الخارجيين. فكلما زادت درجة الكفاءة وا موضوعية 
لدى هؤلاء الأشخاص,» زاد حجم الاستخدام الذي يمكن أن يفعله المدقق بأعمالهم. على 
وجه التحديد. يدعو معيار التدقيق رقم0 إلى تقييم كفاءة وموضوعية المدققين الداخليين 
في المؤسسة. الكفاءة هنا تعني تحقيق (والحفاظ على) مستوى معين من الفهم والمعرفة 
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ما 3 الأشخاص من أداء المهام الموكلة إليهم» أما الموضوعية فتعني المقدرة على أداء 
تلك المهام بنزاهة وأمانة معرفية. ولتقييم الكفاءة يتعين على المدقق الخارجي أن يقوم 
بتقييم مؤهلات المدققين الداخليين أو غيرهم وقدرتهم على إنجاز الأعمال التي يخطط 
المدقق الخارجي لاستخدامها. ولتقييم الموضوعية» فإن معيار التدقيق رقم 0 يدعو المدقق 
الخارجي إلى تقييم ما إذا كانت العوامل الحالية تعرقل أو تعزز من قدرة الشخص على أداء 
الأعمال» بالقدر اللازم من الموضوعية» والتي يخطط المدقق (الخارجي) لاستخدامها. 

يواصل معيار التدقيق رقم 0 في النص على أنه لا يجب على المدققين الخارجيين استخدام 
أعمال أشخاص (هم) على "درجة منخفضة من الموضوعية: بغض النظر عن مستوى 
كفاءتهم" كما لا يجب عليهم أيضا استخدام أعمال أشخاص (هم) على درجة منخفضة 
من الكفاءةء بغض النظر عن درجة موضوعيتهم. إن الأشخاص الذين يضطلعون مهام 
رئيسية كسلطة الاختبار أو الامتثال في ا مؤسسةء مثل المدققين الداخليين أو مدققي تقنية 
ا معلومات» هم عادة من يُتَوَقع أن يكونوا على درجة عالية من الكفاءة والموضوعية في أداء 
مثل هذا النوع من الأعمال التي ستكون مفيدة للمدقق الخارجي. 


قواعد أخرى لقانون ×50 - الباب الثاني: استقلالية المدقق: 

کان فقون الداتغليوق و انار چیو :615ا غبازة عن موارة متفضلة ومستفلة: فقن كان 
المدققون الخارجيون مسؤولين عن تقييم نزاهة أنظمة الرقابة الداخلية في المؤسسة والتقارير 
المالية المعلنة في النهاية. في حين كان المدققون الداخليون يخدمون الإدارة في مجموعة واسعة 
من المجالات الأخرى. في بدايات التسعينيات من القرن الماضيء بدأ هذا الانقسام بالتغير مع 
تحمل شركات التدقيق الخارجي كامل المسئولية تجاه بعض مهام التدقيق الداخلي أيضاً. 
وقد بدأ ذلك عندما شرعت المؤسسات الكبيرة في الاستعانة بمصادر خارجية للقيام ببعض 
الوظائف غير الأساسية لديها كوظيفة عامل الكفتيريا أو عمال الخدمات المعاونة كالنظافة 
والحراسة وصيانة المعدات. كان التفكير وقتها في أن الموظفين الذين عملوا في تلك امجالات 
المتخضصة لم يكونوا في الواقع جرا من عمليات التشغيل الرئيسية في المؤسسة» وأن وظيفة 
الخدمات اممعاونة وغيرها من الوظائف غير الرئيسية الخاصة بالمؤسسة رها يتم إسنادها إلى 
شركات أخرى متخصصة في مجالات مثل تقديم الخدمات ال معاونة إلى العديد من المؤسسات 
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الأخرى. وأن موظفي الخدمات المعاونة الذين كانوا يعملون سابقاً داخل المنشأة سيتم 
تحويلهم إلى شركات تعمل في مجال الخدمات المعاونة, ونظرياً فإن الكل سيس تفيد. وإن 
المؤسسة التي بادرت بالاستعانة بالمصادر الخارجية ستتحمل تكاليف أقلء وذلك من خلال 
إسناد الوظيفة غير الرئيسيةء وهي ازن هات وةل فحص ما اكد اا ا وقد 
يكون لدى عامل الخدمات المعاونة الذي تم الاستعانة به على أنه مصدر خارجي احتمالات 
مهنية واعدة وإشرافية أفضل. 

بدأت عملية الاستعانة مصادر خارجية للقيام بمهمة التدقيق الداخلي لأول مرة في أواخر 
الثمانينيات من القرن الماضي. فقد لجأت مكاتب التدقيق الخارجي إلى إدارات الشركات التي 
تتولى مهام التدقيق الخارجي لديها وعرضت عليهم فكرة "الاستعانة مصادر خارجية" أو أن 
تقوم الشركة بتولي المهام الحالية للتدقيق الداخلي. وقد نالت هذه الفكرة استحسان الإدارة 
العليا ولجان التدقيق على مختلف المستويات. حيث كانت الإدارة العليا في أغلب الأحيان 
غير مدركة تماماً للفروقات الموجودة ما بين مهام عملية التدقيق الخارجي والداخلي وكانوا 
في بعض الأحيان يميلون أكثر للتعامل مع مدققيهم الخارجيين. هذا بالإضافة إلى أن الإدارة 
العليا وأعضاء لجنة التدقيق كان يتم إغراؤهم غالباً عن طريق وعود بانخفاض التكاليف 
في حال الاستعانة مصادر خارجية للقيام بعملية التدقيق الداخلي. وقد استمر إسناد 
التدقيق الداخلي لمصادر خارجية (التعهيد بالتدقيق الداخلي) في النمو خلال تسعينيات 
القرن الماضي. وبالرغم من المحاولات المبذولة من بعض الشركات المستقلة لدخول هذا 
السوقء فإن إسناد التدقيق الداخلي ممصادر خارجية استمر ليكون المجال الخاص بشركات 
المحاسبة العامة الكبرى. 

أصبحت الاستعانة بمصادر خارجية للتدقيق الداخلي مسألة بالغة الأهمية نظراً لضلوعه 
في فضيحة إنرونء فقد قامت الشركة بتعهيد مهام التدقيق الداخلي لديها بشكل شبه كاي 
إلى مكتب التدقيق الخارجي الخاص بهاء وهو مكتب آرثر أندرسون .Aruİher A۸۲5۸‏ 
حيث إن فريقي التدقيقء كلاهما يعمل بشكل رسمي بصفة موظف في مكتب أندرسون مع 
اختلاف العلاقات الخاصة بإعداد وتقديم التقاريرء فهم يعملون جنباً إلى جنب في مكاتب 
شركة إنرون. وعلى إثر سقوط شركة إنرون» ثارت العديد من التساؤلات عقب تلك الواقعة 
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عن كيف يكن لإدارة التدقيق الداخلي تلك والتي تم التعهيد بها أن تكون إدارة مستقلة 
کن شكس ندر ون الف كان هن الث جا في هذه الظروف التي هر بها التدقيق 
الداخلي أن تثار المخاوف لدى لجنة التدقيق المتعلقة بمدققيهم الخارجيين. وقد أصبح هذا 
التضارب المحتمل بمثابة قضية إصلاحية في قانون 501. 


القيود المفروضة على خدمات المدققين الخارجيين 
نص قانون ×50 على أنه من غير القانوني بالنسبة لأي شركة من شركات المحاسبة 
القانونية (العامة) المسجلة أن تقوم بتقديم خدمات غير متعلقة بالتدقيق بالتزامن مع 
تقديم خدمات التدقيق لنفس العميل. تشمل هذه المحظورات أعمال التدقيق الداخلي» 
والعديد من مجالات الاستشارات. والتخطيط المالي لمسئول كبير. والعنصر الأكثر أهمية 
هنا هو أنه من غير القانوني بالنسبة لشركات ال محاسبة القانونية أن تقوم بتقديم خدمات 
التعهيد الخارجي لأعمال التدقيق الداخلي في حال كانت هي أيضا من يقوم بأعمال التدقيق. 
هذا يعني أن شركات المحاسبة القانونية الكبرى قد تكون حالياً وبشكل أساسي خارج نطاق 
التعهيد الخارجي لأعمال التدقيق الداخلي بالنسبة لعملاء التدقيق المباشرين لديها. أما 
الشركات الأخرى» متضمناً الشركات المستقلة المنفصلة عن شركات مستوى المحاسبة العامة 
أو الشركات الاستشارية المتخصصة في التدقيق الداخلي يمكنهم الاستمرار في تقديم خدمات 
التعهيد الخارجي لأعمال التدقيق الداخلي. أما العصر الذي كان فيه من الممكن أن يصبح 
أحد أخصائيي التدقيق الداخلي متعاقداً أو موق في شركة المحاسبة العامة الخاصة به أو 
بها قد انتهى. 
إضافة إلى الحظر المفروض على تقديم خدمات التعهيد الخارجي لأعمال التدقيق 

الداخلي» فإن قانون ×80 هنع مكاتب المحاسبة القانونية من تقديم خدمات أخرى منها: 
- تصميم نظم المعلومات المالية وتطبيقاتها: كانت مكاتب ال محاسبة القانونية ولسنوات 

عديدة تقوم بتثبيت نظم مالية - تكون غالبا من تصميمها الخاص - لعملائها من 

الشركات. ثم يعودون بعد ذلك لمراجعة الضوابط الداخلية لتلك النظم التي قاموا للتو 

بتركيبها - ويعد هذا ار کا في المصالحء وم يعد هذا و به. 
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- مسك الدفتر والخدمات المتعلقة بالقوائم المالية: كانت مكاتب المحاسبة العامة في 
السابق تقوم بتقديم خدمات محاسبية لعملائها بالإضافة إلى قيامها بأعمال التدقيق 
وحتى بالنسبة للشركات الكبرى» فلم يكن من غير المعتاد بالنسبة للفريق المسئول عن 
عملية تدقيق القوائم المالية بالكامل أن يقوم أ أيضا بإجراء الكثير من الأعمال اللازمة لبناء 
القوائم المالية اللوحذة (المجمعة) النهائية. مرةٌ أخرى يعد هذا تضارباً محتملاً في المصالح» 
وهذا غير مسموح به. 

- الوظائف الإدارية ووظائف الموارد البشرية: قبل صدور قانون ×80 كانت مكاتب التدقيق 
الخارجي هي التي تقوم غالباً باختيار عدد من المهنيين العاملين لديها وتساعد في انتقالهم 
إلى مناصب إدارية لدى العميل. وكانت النتيجة إيجاد بيئة يكون فيها كل مديري الحسابات 
تقريباً في المؤسسة هم من خريجي مكتب التدقيق الخارجي التابعين له. وقد كان ذلك 
محبطاً أحياناً بالنسبة للمدققين الداخليين وغيرهم من الذين لا ينتمون ممكتب المحاسبة 
القانونية نفسه . وبدت فرص الحصول على ترقية فوق مستوى معين محدودة بسبب شبكة 
علاقات أو اتصالات "التلميذ السابق "“ 014-00 مع مكتب التدقيق الخارجي. 

- خدمات أخرى محظورة: ينع قانون :50 مكاتب التدقيق الخارجي بصورة خاصة من 
تقديم الخدمات الاكتوارية (المتعلقة بحسابات التأمين) والخدمات الاستشارية المتعلقة 
بالاستثمار والخدمات القانونية ذات الصلة بتدقيق الحسابات. بالرغم من السماح لهم 
بتقديم الخدمات الضريبية. 

إن الموضوع العام لقانون 50 هنا هو أن المدققين الخارجيين مخولون لمراجعة القوائم 

المالية الخاصة بعملائهم من المؤسساتء وهذا كل ما في الموضوع. يسمح قانون >80 

بتجاوز الأنشطة المحظورة التي تم ذكرهاء حيث يمكن للمدققين الخارجيين المشاركة في 

تقديم الخدمات الأخرى غير المتعلقة بالتدقيق فحسب إذا كانت هناك موافقة مسبقة من 

قبل لجنة التدقيق على تقديم تلك الخدمات. فمع الفحوصات المتزايدة التي تقوم بها 

لجان التدقيق في ظل قانون ×50 أصبح العديد يشعرون بالقلق جراء محاولة مصادقة أي 

شيء يبدو أنه خارج عن المألوف إطلاقاً. 


(*) العلاقات والروابط الاجتماعية والتجارية بين التلاميذ السابقين. (المترجم). 
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الموافقة المسبقة من لجنة التدقيق على الخدمات: 
يوضح البند ٠٠١7‏ من الباب الأول لقانون ×50 أنه يجب أن توافق لجنة التدقيق على 
جميع الخدمات المتعلقة وغير المتعلقة بالتدقيق بشكل مسبق. وعلى الرغم من أن لجان 
التدقيق كانت تفعل أو كان يجب عليها أن تفعل ذلك طيلة الوقت» فإن تلك التصديقات 
أو الموافقات كانت في كثير من الأحيان أكثر بقليل من مجرد إجراء شككليء وذلك قبل 
صدور قانون ×50. فقد كانت لجان التدقيق في شبكة "التلاميذ السابقين" تره8- 014 
تتلقي غالباً ما هو أكثر قليلاً من مجرد مذكرة مختصرة مكتوبة أو رسالة شفوية من الإدارة 
المسؤولة عن التدقيق والتي كانت تُعْتَمَد بالطريقة التقليدية نفسها التي كانت تُْتَمَد بها 
في كثير من الأحيان محاضر الاجتماعات. وجاء قانون <50 ليغير كل هذاء فالآن قد يُعرّض 
أعضاء لجنة التدقيق أنفسهم للمساءلة القانونية أو إقامة دعاوى قضائية ضدهم من قبل 
أصحاب المصالح في حال سماحهم بحدوث أي عمل من الأعمال المحظورة. 
بالطبع فإن هناك العديد من الأمور الثانوية المتعلقة بأنشطة المدققين الخارجيين التي 
ليس من الضروري أن تمر من خلال تلك العملية الرسمية والخاصة با موافقة المسبقة من 
قبل لجنة التدقيق. 
وباستخدام المصطلحات القانونيةء فإن قانون :50 يضع الحد الأدنى لقواعد الاستثناء" 
من متطلبات الحصول على إذن لجنة التدقيق. فوفقاً لقانون «50 فإن الموافقة المسبقة 
ليست ضرورية بالنسبة لبعض الخدمات التي لا تتعلق بالتدقيق إذا كان: 
- القيمة الإجمالية بالدولار الأمريكي للخدمة المقدمة لا تتجاوز 0> من إجمالي رسوم عملية 
التدقيق الخارجي المدفوعة من قبل الشركة خلال السنة المالية التي قدمت فيها تلك 
الخدمات. 
- كانت الخدمات المقدمة غير متعارف على أنها خدمات تتعلق بالتدقيق من قبل الشركة 
في الوقت الذي بدأت فيه عملية التدقيق الشامل. 
- إذا حولت هذه الخدمات لعناية لجنة التدقيق وتم الموافقة عليها قبل إتمام عملية 
التدقيق. 
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قَدَّمْتَ تلك الاستتاءات بعض المرونة للمدققين الخارجيين ولجنة التدقيق. فضلا عن أن 
طبيعة ومجموع القيمة الدولارية لهذه الخدمات الإضافية التي لا تتعلق بالتدقيق يجب 
متابعتها بعناية طوال السنة المالية للحفاظ على مستوى معين من الامتثال. ولا بد من إشراك 
التدقيق الداخلي في هذه العملية للمساعدة في التأكد من أن جميع الخدمات الإضافية 
المقدمة لا تزال متوافقة مع قواعد قانون 50, متضمناً ذلك الإفصاح عنها للمستثمرين 
عن طريق البيان السنوي للوكيل. ويسمح ×50 بإمكانية أن تقوم لجنة التدقيق بتفويض 
سلطة الموافقة المسبقة على الخدمات التي لا تتعلق بالتدقيق لواحد أو أكثر من المديرين 
الخارجيين في لجنة التدقيق. وهذا من شأنه تخفيف الإجهاد الناتج عن الإجراءات المطولة 
للجنة التدقيق» ولكنه سيضع مسؤولية أكبر على عاتق عدد قليل من أعضاء لجنة التدقيق 
علاوة على العديد من المسؤوليات القانونية الجديدة المفروضة من قبل قانون ×50. 


تناوب شريك التدقيق الخارجي: 

صرح بند آخر (البند )۲٠۲‏ من الباب الثاني لقانون ×80 أنه من غير القانوني أن يرأس 
الشريك الرئيسي لمكتب المحاسبة القانونية أية اتفاقيات لأكثر من خمس سنوات. وهي 
المسألة التي قامت مكاتب المحاسبة الكبرى بتصحيحها بشكل جيد قبل صدور قانون ×>80. 
فقد كان يتم تناوب الشركاء الرئيسيين التابعين للشركات الكبرى بصفة منتظمة؛ على الرغم 
من أنه قد تكون هناك استثناءات بالنسبة للشركات الصغرى واتفاقيات الشراكة الأصغر 
حجماً. وفي الوقت الذي شاعت فيه عملية تناوب الشريك الرئيسيء فقد اعتبر قانون :50 
أن تقصير الشركة في عملية التناوب يعد عملاً إجرامياً. فضلاً عن أن قانون ×80 في الواقع 
ثم يتناول ممارسة عامة يتم من خلالها تناوب شريك التدقيق حيث سيقوم شخص معين 
بلعب دور الرئيس أو الشريك الرئيسي لعملية التدقيق» ثم يستمر بعد ذلك في الخدمة 
كاستشاري بعد انتهاء مدته أو مدتها. ويمكن لهذا الشريك الذي يلعب دور الاستشاري 
غالباً أن يحافظ على مستوى المسئولية نفسه المعين عليه الشريك الرئيسي وقد يصبح ذلك 
انتهاكا محتملا لقواعد قانون <501. 

عند طباعة هذا الكتاب كانت هناك العديد من الشائعات والأقاويل التي تشير إلى أن 
مجلس الإشراف المحاسبي على الشركات المساهمة 20808 يقوم بدراسة فرض تناوب 
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كامل لمكاتب المحاسبة القانونية (ليس تناوب شريكها). ففي الوقت الحالي قد يتم تبديل 
الشركاء ولكن يبقي المكتب دون تغيير. التفكير في أن يكون هناك مكتب جديد يمد إدارة 
المؤسسة بمنظور جديد حول عملية التدقيق. 

يتواصل المدققون الخارجيون دايا مع لجان التدقيق التابعين لها بصفة منتظمة طوال 
عملية التدقيق» وكذلك في حالة المسائل التي تثير المخاوف. وفي أعقاب سقوط شركة إنرون 
وغيرها من فضائح الشركات في ذلك الوقت» تم اكتشاف أن هذه الاتصالات كانت في بعض 
الأحيان محدودة للغاية. فقد يتفاوض أحد أعضاء الإدارة مع شريك المحاسبة القانونية على 
"التغاضي عن" تغيير مقترح في إحدى المعالجات المحاسبية, إلا أن لجنة التدقيق م تكن ثبل 
بهذا الأمر إلا في ظل الشروط العامة وهذا في حال حدوث ذلك. 

لقد غير قانون ×80 ذلك. فالمدققون الخارجيون مطالبون بالإبلاغ -على أساس زمني- 
عن كل السياسات والممارسات المحاسبية المستخدمة» والمعالجات البديلة للمعلومات المالية 
التي تمت مناقشتها مع الإدارةء والمعالجات البديلة الممكنة. والنهج الذي يفضله المدقق 
الخارجي. فالفكرة كلها هنا هي أنه يجب على المدققين الخارجيين أن يقوموا بإبلاغ لجنة 
التدقيق التابعين لها بأي معالجات محاسبية بديلة» والنهج المفضل لدى المدققين الخارجيين» 
ونهج الإدارة. هذا في الواقع يقول إنه إذا كانت هناك معالجات محاسبية مختلف عليهاء 
فإنه يجب أن تكون لجنة التدقيق على دراية جيدة بالإجراءات المتخذة حيال ذلك. ويشير 
هذا المطلب حقيقة إلى الحاجة إلى توثيق جيد للجنة التدقيق. 


تضارب المصالح والتناوب الإلزامي لمكاتب التدقيق الخارجي: 

لقد كان شائعاً في السابق بالنسبة لأعضاء فريق مكتب التدقيق الخارجي أن 
يحصلوا على تعيينات وظيفية لشغل مراكز مالية عليا لدى الشركات العميلة لديهم. 
وقد منع البند ٠١7‏ من الباب الثاني لقانون ×50 المدققين الخارجيين من تقديم 
أي خدمات تتعلق بالتدقيق للشركة التي شارك رئيسها التنفيذي 0٤0‏ أو مديرها 
المالي 070 أو مدير حساباتها باعتباره أحد أعضاء مكتب التدقيق الخارجي على 
عملية التدقيق نفسها خلال السنة الأخيرة. وفي الحقيقة فإن هذا يعني أنه لا يمكن 
لشريك عملية التدقيق أن يتخلى عن العمل في التدقيق ليبدأ العمل مديراً تنفيذياً 
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الفصل الثاني 


في الشركة نفسها التي قام للتو بتدقيق حساباتها. في حين أن الموظفين والمديرين لا 
يزال بإمكانهم الانتقال من فريق مكتب المحاسبة القانونية لتولي مناصب مختلفة 
في الشركة الخاضعة لعملية التدقيق» فهذا الحظر يقتصر فقط على شركاء المحاسبة 
القانونية وقد كانت هناك بعض الأمثلة الواضحة على هذا التحول في الأدوار باعتبار 
ذلك 1 من مجمل الأحداث الخاصة بشركة إنرون. 


الباب الثالث لقانون <50: مسؤولية الشركة 

تحتوي اللوائح في الباب الثالث من قانون ×50 على قواعد تنظيمية رئيسية تتعلق 
بلجان التدقيق وتصف معايير أداء لجان التدقيق ومجموعة كبيرة من قواعد حوكمة 
الشركات. فبموجب قانون ×80 يجب على جميع المؤسسات المسجلة أن يكون لديها لجنة 
تدقيق مكونة فقط من مديرين مستقلين. حيث يتبع مدققو مكتب التدقيق الخارجي 
لجنة التدقيق بشكل مباشر والمسئولة عن دفع أتعابهم والإشراف على أعمال التدقيق. وحل 
أي خلافات تقع بين التدقيق الخارجي والإدارة. وبالرغم من أن الشركات الأمريكية الكبرى 
قد كان لديها لجان تدقيق» فإن هذه القواعد قد تم استنتاجها من الممارسات التقليدية 
القدمة. على سبيل المثال» بينما كان لدى إدارات التدقيق الداخلي في السنوات الماضية 
علاقات ضعيفة خاصة بتقديم التقارير مع لجان التدقيق التابعين لها في كثير من الأحيانء 
فإن قانون <50 جعل هذه العلاقة أكثر قوة وأكثر فاعلية. 

تان يكون كل عضو من أعضاء لجنة التدقيق التابعة للمجلس (مجلس الإدارة) 
مديراً مستقلا غاما. :وجب أن يكو عض واعد عن الأقل من أعفاء لجنة التذقيق "هرا 
مالي" . وقد تم طرح هذه القوانين نتيجة جلسات الاستماع التي أدت إلى صدور قانون 
×80 فقد تم اكتشاف أنه طلب من بعض أعضاء لجنة التدقيق المسؤولة عن شركة إنرون 
الذين كانوا على ما يبدو لا يعرفون الكثير عن المعاملات المالية القيام بعمليات ال مراجعة 
والاعتماد. وتَعَرّف اللوائح التنظيمية لهيثة الأوراق الماليةء والبورصة الأمريكية "الخبير 
المالي" على أنه الشخص الذي يملك. من خلال التعليم والخبرة: التالي: 
- فهم وإدراك للمبادئ المحاسبية والقوائم المالية المتعارف عليها بشكل عام. 
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- خبرة في تطبيق هذه المبادئ المحاسبية المقبولة بشكل عام وربطها بمحاسبة التقديرات 
وا مستحقات والاحتياطات التي يمكن مقارنتها عموما بالتقديرات والمستحقات والاحتياطات 
في حال استخدم أي منها في القوائم ا مالية للشركة ا مسجلة. 
- خبرة في إعداد أو تدقيق البيانات المالية التي تمثل القضايا المحاسبية الحالية التي يمكن 
مقارنتها عموما بتلك القضايا ا محاسبية المثارة في القوائم المالية لدى الشركة المسجلة. 
- خبرة في الضوابط والإجراءات الداخلية الخاصة بالتقارير المالية. 
- فهم وإدراك لهام لجنة التدقيق. 
ولا تتطلب هذه المبادئ أي شهادات رسمية أو خلفيات أكادهية أو مؤهلات أخرى. 
فهي تنص على أنه يجب على أعضاء لجنة التدقيق أن يقدموا أنفسهم على أنهم على 
مستوى معين من المعرفة حول قضايا المحاسبة والتقارير المالية والضوابط الداخلية. ففي 
بعض الأحيان يُطلب من عضو لجنة التدقيق أن يضع نفسه أو تضع نفسها في خط المواجهة 
المالية والرقابة الداخلية. 
ويدعو قانون :50 أيضاً لجان التدقيق إلى أن تقوم بوضع إجراءات لتلقي وحفظ 
ومعالجة الشكاوى المقدمة ومعالجة إفادات المبلغين المتعلقة بالقضايا المحاسبية ومسائل 
التدقيق المشكوك فيها. هذا في الحقيقة يعني أن لجنة التدقيق يجب أن تصبح» في 
الواقع» كياناً مستمراً شبه مستقلء بدلاً من أن تكون مجموعة فرعية من المجلس الإداري 
التقليدي الذي يلتقي في مكان ما ويجتمع كل ثلاثة أشهر. وبينما هذا الأمر يبدو فكرة 
جيدة» فإن معظم وظائف لجنة التدقيق لا تملك مصادر داعمة لخدمة إدارة المبلغين على 
المستوى المؤسسيء ويكون هذا الأمر غالبا من اختصاص إدارة أخلاقيات العمل على المستوى 
المؤسسي. وعلى الرغم من النصوص الموجودة في قانون :501: فإنه يتم تشغيل الإدارات 
الخاصة بالمبلغين على مستوى لجنة التدقيق في الأساس بحسب الظروف. 
كانت الشركات الامريكية قبل صدور قانون ×50 تقوم بحفظ قوانمها المالية داخل 
ملفات لدى هيئة الأوراق ال مالية والبورصة الأمريكية» ولكن لم يكن مديرو الشركات 
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المسؤولون الذين وقعوا على هذه التقارير المالية يتحملون أية مسؤوليات شخصية. الآن 

تم إزالة هذه العقبة. وأصبح واجبا أن يصدق الرئيس التنفيذي 080 أو المسؤول المالي 

الأساسي أو غيرهم ممن ارسون مهام مشابهة على كل تقرير مالي سنوي أو ربع سنوي تم 

إرساله. لذلك يجب على المسئول الذي يقوم بالتوقيع» وكجزء مما أشير إليه بالبند 07 

أن يشهد: 

- أن الموظف الذي يقوم بالتوقيع على التقرير قد قام بمراجعته. 

- بناء على معرفة هذا الموظف الموقع؛ فإن القوائم المالية لا تحتوي على أي معلومات مادية 
مضللة أو غير صحيحة. 

- مرة أخرى فإنه بناء على معرفة الموظف الذي يقوم بالتوقيع» فإن القوائم المالية ثل 
بعدالة الأوضاع والنتائج المالية لعمليات التشغيل في المؤسسة. 

- أن المسئول الذي يقوم بالتوقيع مسؤول عن: 
0 وضع ضوابط داخلية والحفاظ عليها. 
« أن تكون تلك الضوابط الداخلية قد صُممت لضمان أن المعلومات الجوهرية عن الشركة 

والشركات التابعة لها قد تم إعلامها للمسئول الموقع خلال الفترة التي تم فيها إعداد التقارير. 
ه أن تكون الضوابط الداخلية في ا مؤسسة قد تم تقييمها في غضون ٠١‏ يوماً قبل إصدار التقرير. 
ه أن تشتمل هذه التقارير المالية على تقييم الموظف الموقع لفاعلية تلك الضوابط 
الداخلية حتى تاريخ التقرير. 

- يجب أن يفصح المسئول اللوقع للمدققين الخارجيين وللجنة التدقيق وممديرين آخرين 
بأنه قد تم الكشف أو التصريح لمدققي حسابات الشركة عن أي نقص أو خلل مؤثر في 
تصميم وتشغيل الضوابط الداخلية التي قد تؤثر في دقة البيانات المالية المقدمة. 

- ويجب أيضاً على المسئول الموقع أن يشير إلى ما إذا كان هناك ضوابط داخلية أو تغيرات 
أخرى قد أثرت بشكل جوهري في تلك الضوابطء وإلى الإجراءات التصحيحية التي جاءت 
بعد تاريخ تقييم الضوابط الداخلية. 
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من المعلوم أن قانون ×50 يفرض عقوبات جنائية محتملة سواء بالغرامة المالية أم 
بالسجن على الأفراد ا مخالفين للقانون» كما أن المتطلبات الخاصة بحوكمة المؤسسة التي 
قامت بالتوقيع تضع عبئاً ثقيلاً على كاهل المسؤولين في الشركة. لذلك يجب على المسؤولين 
في الشركة أخذ كل التدابير اللازمة للتأكد من التزامهم بالقانون. 

وقد أثار هذا المطلب الخاص بالتوقيع الشخصي مخاوف كبيرة لدى الرؤساء التنفيذيين 
9 واممدیرین الماليين 05805 في الشركات كما تسبب في وجود قدر كبير من العمل الإضافي 
بالنسبة لموظفي قطاعي المحاسبة والمالية من أجل تحضير تلك التقارير وكذلك للمسئولين 
الموقعين. تحتاج المؤسسة لوضع إجراءات تفصيلية لعالجة البيانات الظاهرة في أسفل 
الوثيقة بحيث يكون المديرون الموقعون مطمئنين إلى استخدام عمليات فعالة وحسابات 
لإعداد تقارير جميعها موثقة بشكل جيد. قد ترغب ال لمؤسسة في استخدام عملية مطولة 
للحصول على التوقيعات النهائية» التي يتم استخدامها لكي يقوم الموظفون الذين يُسلمون 
التقارير المالية بالتوقيع على ما يقومون بتسليمه. الشكل التوضيحي (۳-۲) يوضح مثال لأحد 
أنواع الإقرارات الخاصة بموافقة المسئول على الإفصاح والتي يطلب من المسؤولين التوقيع 
عليها. وبالرغم من أن هذا الإقرار الموضح في هذا الشكل ليس أحد النماذج الرسمية الخاصة 
مجلس الإشراف المحاسبي على الشركات المساهمة: فإنه يستند إلى وثائق هيئة الأوراق المالية 
والبورصة الأمريكية» ويوضح أنواع الأمور التي سيطلب من ال مدير المسؤول التصديق عليها. 
لقد قمنا بتسليط الضوء على عبارتين من العبارات الموجودة في الشكل التوضيحي (7-7) 
بوضعهما بخط عريض ومائل. وفقاً لقانون :50 فإن الرئيس التنفيذي 080 أو المدير المالي 
080 مطالب بالتصديق الشخصي على هذه الأنواع من البيانات وقد يكون عرضة لمساءلة 
جنائية في حالة عدم صحة ما صدق عليه. وعلى الرغم من المخاطرة التي يتعرض لها المدير 
ا مسئول فإنه يجب على فريق الدعم» متضمناً ذلك المدققين الداخليينء أخذ كل الاحتياطات 
اللازمة والممكنة للتأكد من صحة البيانات المقدمة للمسؤول الأعلى. 


الباب الرابع لقانون :50: تعزيز حالات الإفصاح عن البيانات المالية: 
تم تخصيص هذا الباب من قانون 5001 لتصحيح بعض ا مشاكل المتعلقة بالإفصاح 
عن التقارير المالية وللتشديد على قواعد تضارب المصالح بالنسبة للمسئولين والمديرين» 
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وإلزام الإدارة بعمل تقييم للضوابط الداخلية» والمطالبة بعمل مدونة لقواعد السلوك 
خاصة بكبار المديرين وغيرها من الأمورء حيث يوجد هنا العديد من الأدوات. إن 
العديد من حالات الإفلاس غير المتوقعة والإخفاقات المفاجئة في جني الأرباح التي 
وقعت تقريباً في الوقت الذي انهارت فيه شركة إنرون نحو عام ۲۰۰۲ م قد تُسبت إلى 
تفارئرتمالية فحديزة العدوائية: إن لم تكن :محل عنك:»فقدالحاث الشركات وبلا حدود 
وبموافقة المدققين الخارجيين إلى اتباع بعض الأساليب غير اللائقة كالإعلان عن أرباح 
وهمية غير صحيحة في النتائج المدونة في التقاريرء أو القيام بتحويل مقر قيادة الشركة إلى 
الخارج لتقليص حجم الضرائب. وعلى الرغم من أن هذه الأساليب كان يُسمح بها سابقاً 
وفقاً للمبادئ المحاسبية المقبولة قبولاً عاماً 4847© والمعايير الدولية لإعداد التقارير 
المالية )I1nternationa1 Financial Reporting Standards (IFRS)‏ وبعض القوانين 
الموضوعة وقتهاء فإن قانون ×50 قد غير هنا العديد من القواعد وجعل من الصعب أو 
من غير القانوني استخدام مثل هذه الأساليب في الإفصاحات المالية. 
إحدى الأساليب التي شاعت وقتهاء هو ما كان يطلق عليه تقارير مالية صورية وقد 
استخدمت هذه الأساليب مراراً وتكراراً لتقديم صورة "وصفية" عن الوضع المالي للشركة 
من خلال إغفال نفقات الأرباح غير المتكررة مثل تكاليف إعادة الهيكلة أو التكاليف 
المتعلقة بالاندماج. من ناحية أخرىء فبسبب عدم وجود تعريف معياري موحد أو 
شكل ثابت للتبليغ عن الأرباح الشكلية» واعتمادا على الافتراضات المستخدمة: فقد 
كان من الممكن أن تصبح خسائر التشغيل أرباحاً في تقارير الأرباح الصورية. كانت 
المشكلة بالنسبة لهاتين المجموعتين من الأرقام أن المستثمرين والصحافة في معظم 
الأحيان يتجاهلون أرقام المبادئ المحاسبية المقبولة قبولاً عاماً 64481). ويركزون أكثر 
3 النتائج الشكلية التي يفضلونها. تتطلب القواعد الإلزامية لقانون ×50 أنه يجب 
تحتوي القوائم المالية المعلنة على أي بيانات مادية غير حقيقية أو أن تهمل أية 
ك3 a‏ إضافة إلى ذلك فإن النتائج الصورية ايها 
يجب أن تتوافق مع الظروف والنتائج المالية لعمليات التشغيل وفقاً للمبادئ ا محاسبية 
المقبولة قبولاً عاماً 845 0. 
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شكل توضيحي (7-7) 
إقرار المسئول بالإفصاح طبقاً لقانون 50 
إقرار الموظف بخصوص الامتثال لقانون :50 
هذه شهادة إحاطة بأننا نعتزم الاعتماد على هذه البيانات» وإن الموقع أدناه يشهدء ويقدم ويتعهد 
لكل منها (هذه البيانات) وللشركة بالتالي: 
.١‏ أنني قرأت تلك الأجزاء من المسودة المرفقة با مغلف والتي تتصل بشكل مباشر بنطاق مسئوليتي 
كموظف بالشركة ("المعلومات المعتمدة"). 
. استناداً إلى معرفتي فإن المعلومات المعتمدة وحتى نهاية الفترة التي يغطيها هذا المغلف لا تحتوي على 
بيان مالي غير صحيح لأي واقعة مادية ولم تهمل الإفصاح عن واقعة مادية ضرورية تجعل البيانات - في 
ظل الظروف التي أعدت فيها البيانات - غير مضللة. 
۳. استناداً إلى معرفتي فإنه في حدود نطاق المعلومات المعتمدة. فإن المعلومات المعتمدة قد تم 
تقدهها بصورة نزيهة في جميع النواحي الجوهرية» والوضع الماليء ونتائج العمليات» والسيولة النقدية 
للشركة كما في نهاية الفترة المعروضة في المغلف أو على مقربة منها. 


». للست على علم بأي قصور في فاعلية ضوابط وإجراءات الإفصاح الخاصة بالمؤسسة والتي قد تؤثر 
بصورة سلبية في قدرة الشركة في تسجيلء ومعالجة. وتلخيص. وإعداد تقرير عن المعلومات المطلوب 
الإفصاح عنها في المغلف. 

0. لست على علم بأي قصور ملموس أو نقطة ضعف جوهرية في تصميم وتشغيل الضوابط الداخلية 
في الشركة والتي قد تؤثر بصورة سلبية على قدرة الشركة في تسجيل» ومعالجة» وتلخيص وإعداد تقارير 
البيانات اطالية. 


”. لست على علم بأي احتيالء سواء كان ماديا أم غير ماديء فيما يخص إدارة الشركة أو موظفين 
آخرين من الذين يلعبون أدوارا أساسية في الضوابط الداخلية للشركة. 

التوقيع: 

التاريخ: ؤفك د د 2 كلا 

الاسم: 

اللشمى الوظيفية _ __ 
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رها كانت القضية الأبرز التي أسهمت في إس قاط شركة إنرون هي وجود عدد كبير 
من المعاملات الخارجة عن الميزانية العامة التي لو تم دمجها بالتقارير امالية المعتادة, 
لاتضحت المشاكل امالية الرئيسية. وبمجرد اكتشافها وتضمينها مع النتائج المالية الأخرى 
لشركة إنرون والإفصاح عنهاء قد دفع ذلك شركة إنرون نحو الإفلاس. أما الآن فيشترط 
قانون ×50 إعداد تقارير ربع سنوية وسنوية للإفصاح فيها عن مثل هذه العمليات 
التي تتم خارج الموازنة والتي قد يكون لها تأثير جوهري في التقارير المالية الحالية أو 
المستقبلية. قد تتضمن هذه العمليات التزامات طارثة «Contingent obligations‏ 
أو علاقات مالية مع كيانات غير موحدة: أو أمور أخرى قد يكون لها تأثيرات مادية 
على عمليات التشغيل. تشترط القواعد النهائية هنا - بعد تمرير قانون 501 - أن 
تقوم كل مؤسسة بتقديم توضيح عن إجراءاتها المتعلقة بالخروج عن الميزانية "مناقشة 
وتحليل الإدارة" Management's Discussion and Analysis (M D&A)‏ في النموذج 
السنوي 10. 
أحكام وإفصاحات وقواعد أخلاقية موسعة لمعالجة تضارب المصالح: 

صورت جلسات الاستماع التي أدت إلى إقرار قانون ×50 في كثير من الأحيان مسئولي 
ومديري الشركات بأنهم جشعون وطماعون بشكل كبير. فبعض الإجراءات كانت تبدو 
متضاربة في المصالح» بدلات الانتقال الضخمة أو القروض الشخصية التي مُنحت للمديرين 
التنفيذيين في الشركات وتم إعفاؤهم من سدادها بعد ذلك بأمر من مجالس إدارة الشركات» 
فالرئيس التنفيذي 0580 على سبيل المثالء عندما يطلب من مجلس إدارة الشركة أن يتم 
منح قرض شخحي لديره المالي 0780© بشروط سداد غامضة مع أحقية المطالبة بسداده أو 
الإعفاء منه. فإن هذا بالتأكيد يخلق حالة من تضارب المصالح. وعلى الرغم من أن هناك 
مجموعة من الاستثناءات المسموح بهاء فإن قانون ×80 اعتبر أنه من غير القانوني بالنسبة 
لأي شركة أن تقوم» سواء بشكل مباشر أو غير مباشر بتمديد الاثتمان - المعطى في صورة 
قرض شخصي - لأي مسئول أو مذيز: 

ولكونه أحد العناصر الهامة في الحوكمة المؤسسية: يطالب قانون ×50 جميع المؤسسات 
باعتماد مدونة خاصة بقواعد السلوك المهني وأخلاقيات المهنة لكبار المديرين الماليين لديها 
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وأن تفصح عن الالتزام بهنذة المدونة اعارا جرا من تقاريرهم المالية السنوية. وفي 
الوقت الذي جعل فيه قانون 501 هذا الأمر أحد المتطلبات الخاصة بكبار المسؤولين» 
فقد كانت هناك مدونات معتمدة لقواعد السلوك الوظيفي والأخلاقي في بعض المؤسسات 
لسنوات عديدة. وقد قامت تلك المؤسسات بتطويرها إلى إدارات أكثر رسمية لأخلاقيات 
المهنة في الشركات الكبرىء وكان ذلك في مطلع التسعينيات من القرن الماضيء إلا أنها كانت 
توضع غالباً من أجل الموظفين والمشرفين بدلاً من وضعها بلسئولي الشركات. وقد تم في هذه 
المدونات تعريف مجموعة من القواعد أو السياسات التي تم تصميمها لتطبق على جميع 
الموظفين» والتي شملت العديد من المسائل مثل السياسات المفروضة على حماية سجلات 
الشركة أو السياسات المفروضة على قبول الهدايا وغيرها من القضايا والفوائد الأخرى. 

في ظل نمو الاهتمام العام حول الحاجة إلى ممارسات قوية للحوكمة وأخلاقيات العمل 
فقد قامت العديد من المؤسسات بتعيين موظف مسؤول عن أخلاقيات المهنة لإطلاق مثل 
تلك المبادرة من خلال مدونة لقواعد السلوك في خطوة أولى. وم يتناول قانون :501 
محتوى مدونة أخلاقيات المهنة هذه على مستوى المؤسسة» ولكن ركز على الحاجة إلى 
المعايير نفسها بالنسبة لكبار المسؤولين كما هي لجميع الموظفين الآخرين في الشركة. كما 
يطالب قانون ×80 على وجه التحديد أنه يجب على مدونة قواعد السلوك المهني أو مدونة 
أخلاقيات المهنة الخاصة بكبار مسئولي المؤسسة أن تعزز وبصورة معقولة: 
- السلوك النزيه والأخلاقي» مضنا ذلك التعامل الأخلاقي مع التضارب الفعلي أو الظاهري 

في المصالح بين العلاقات الشخصية والعلاقات اممهنية. 

- إفصاح شامل ودقيق وعادل في الوقت المناسب ومفهوم في التقارير المالية للمؤسسة. 
- الامتثال للقوانين واللوائح الحكومية المعمول بها. 

إذا كانت المؤسسة تمتلك مدونة خاصة بالقواعد السلوكيةء فيتعين على الإدارة التأكد من 
أن هذه المدونة يتم تطبيقها على جميع أعضاء المؤسسة: وأنها متوافقة مع قانون <«50, 
وأن هذه القواعد الأخلاقية قد تم الإفصاح عنها إلى جميع أعضاء المؤسسة: متضمنا ذلك 
المسؤولين. إن القضية الجوهرية للحوكمة هنا هي التأكد من أن المدونة الحالية لقواعد 
السلوك تغطي قواعد قانون ×50 السابقةء وأنه قد تم إيصالها إلى الإدارة العلياء وأن هؤلاء 
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المسؤولين قد وافقوا على الالتزام بها. وعلى الرغم من أن عمليات وإجراءات الامتثال 
بقانون ×80 قد وَضعت فقط لكبار المديرين في المؤسسة: فإنه هذا هو الوقت المثالي 
لإطلاق إدارة أخلاقيات المهنة في جميع أنحاء المؤسسة والتي يمكن تطبيقها على الإدارة 
العليا وكذلك جميع الموظفين. 

ليس الأمر مطلباً شرعياً لقانون 50 فحسب. إذ إن مجموعة فعالة من ا معايير 
الأخلاقية يمكن أن تعبر با مؤسسة من وضع كارك وتساعدها على التحول في الاتجاه الصحيح. 
كان الدافع وراء سن قانون ×80 وأحكامه القوية في هذه المجالات هو إدراك أن بعض 
مسئولي الشركات كانوا يعملون بهدف تحقيق مصالح ومكاسب شخصية دون أي اعتبار 
للقيم الأخلاقية الراسخة كما ثبت من خلال التقارير المالية الدقيقة والسليمة. وتستطب 
المتطلبات الأخلاقية للمهنة في قانون ×80 أن تساعد أي مؤسسة على أن تضع لنفسها قدماً 
من أجل تحسين الممارسات المتعلقة بالحوكمة وسلوكيات الأعمال الأخلاقية بشكل أفضل. 


قواعد ومتطلبات أخرى لقانون <50: 

يتضمن قانون 501 مجموعة كبيرة ومعقدة من القواعد والأحكام التي تغطى مجالات عديدة 
كالمتطلبات الخاصة بحوكمة لجنة التدقيق» وتضارب مصالح المحلل الأمني وغيرها من قواعد 
الإفصاح المالي. لسنا هنا بصدد تقديم شرح تفصيلي عن كامل القانون وأحكامه. فمن منظور 
الحوكمة المؤسسية وحوكمة تقنية المعلومات, فإن فهم وإدراك البند ٠٠١٤‏ وبعض القضايا الأخرى 
التي تم تسليط الضوء عليها في هذا الفصل رها يكون هو الأكثر أهمية. ويمكن إيجاد الوصف 
العام الأكثر تفصيلا لقانون ×80 في الكتاب الذي أشار إليه ا مؤلف سابقاً حول قانون 501. 

يعد قانون ×50 منذ إقراره قانوناً مويك في مطلع التسعينيات من القرن الماضي أحد 
العناصر الهامة في التشريع» فقد أسهم منذ ذلك الوقت في تغيير العديد من القضايا ا متعلقة 
بالتقارير المالية وا ممارسات الخاصة بالرقابة الداخليةء والحوكمة المؤسسية. وعلى الرغم 
من بعض التغيرات التي طرأت على بعض عناصر قانون ×50 منذ صدوره وأن متطلباته 
لا تشير الكثير من الاهتمام» فإن معظم جوانب قانون ×80 لاتزال فعالة وقابلة للتطبيق. 
لقد كان الجزء الأكبر في التغبير هو إطلاق معيار التدقيق رقم 0 ۸485ء وقد تمت مناقشته 
من قبلء وهو أحد معايير التدقيق التي فصق اهجا أكثر اغدمادا عل اللفاظر اة 
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وتقيبم الضوابط الداخلية. وقد احتوى قانون ×80 في الأصل على بعض القواعد الخاصة 
بالتبليخ عن المخالفات التي سمحت لجميع الموظفين بكتابة تقارير بصورة مستقلة للتبليخ 
عن أي احتيال مالي محتمل. وكانت تصرف مكافآت وحوافز مادية لأصحاب تلك التقارير 
الشخصية الخاصة بالتبليغ. وعلى الرغم من أنه كان من المفترض أن يتسبب ذلك في عاصفة 
من الدعاوي القضائيةء فإنه لم يكن هناك الكثير منها لأي نشاط من الأنشطة الخاصة 
بقانون ×50 في هذا الجانب منذ إقراره وتمريره. 


وعلى الرغم من أنه سيتم تناول العديد من التفاصيل الخاصة بهذا القانون من قبل 
كل من الإدارة المالية والمدققين الداخليين والخارجيين» فإنه يجب أن يكون لدى سكول 
التنفيذي للأعمال اليوم إدراك عام جيد لقواعد ومتطلبات قانون ×80. كما يجب أن 
يساعد الوصف العام لهذا القانون الذي جاء في ثنايا هذا الفصل مسئولي الأعمال التنفيذيين 
اليوم على فهم قانون ×50 وأهميته في حوكمة تقنية المعلومات على نحو أفضل. 


ما المقصود بحوكمة تقنية المعلومات: 
كما هو موضح في مقدمة هذا الفصل» فإن نظام حوكمة تقنية المعلومات'11 

Governance‏ عبارة عن مجموعة فرعية من القضايا الشاملة لحوكمة المؤسسات وأحد 

العناصر الهامة للغاية في هذا المجال. لا يوجد تعريف واحد معتمد لحوكمة تقنية 

امعلومات» ويوضح البحث من خلال شبكة الإنترنت أن حوكمة تقنية المعلومات تعني 

أشياء مختلفة لأشخاص مختلفين: 

- تستخدم حوكمة تقنية المعلومات في كثير من الأحيان لوصف العمليات الضرورية لاتخاذ 
قرار بشأن الأموال التي يجب إنفاقها على موارد تقنية المعلومات. تتضمن عملية حوكمة 
تقنية المعلومات هذه وضع أولويات للاستثمارات في تقنية المعلومات وتبريرها. كما 
تتضمن الضوابط المفروضة على الإنفاق مثل الموازنات ومستويات الصلاحية. 

- تستخدم حوكمة تقنية المعلومات في كثير من الأحيان لوصف العديد من الجوانب 
ا مختلفة في التغيرات التي تطرأ على تقنية المعلومات. فعلى المستوى الأدنى» قد تستخدم 
في بعض الأحيان لوصف إدارة المشاريع والتحكم في محفظة المشاريع المتعلقة بتقنية 
المعلومات. كما هو موضح في الفصل السادس عشر من هذا الكتاب. 
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- تستخدم حوكمة تقنية المعلومات لضمان امتثال عمليات التغيير في تقنية المعلومات 
للمتطلبات التنظيمية سواء كانت قوانين ولوائح حكومية أم معايير مهنية. 
- حوكمة تقنية المعلومات هي عملية المواءمة بين التغيير المطلوب في تقنية المعلومات 
والإنفاق عليها وبين متطلبات الأعمال ونفقاتها. وقد تشمل حوكمة تقنية ا لمعلومات في 
بعض الأحيان أيضاً آلية توزيع وانتشار فريق تقنية المعلومات. 
- ُستخدم حوكمة تقنية المعلومات أيضاً لوصف إدارة وضبط خدمات تقنية المعلومات. 
على سبيل المثالء» تستخدم اتفاقيات مستوى الخدمة service level agreements SLAs‏ 
(التي سنتحدث عنها في الفصل السابع عشر من هذا الكتاب) لتحديد مستويات الخدمة 
المقبولة للأعمالء ثم استخدمت بعد ذلك أساساً لمتابعة الخدمات. 
- تضمن حوكمة تقنية المعلومات حل المشاكل اليومية وكذلك دعم جميع موارد تقنية 
ال معلومات لتتماشي مع متطلبات العمل. 
تتعامل حوكمة تقنية المعلومات بشكل أساسي مع العلاقة بين تركيز أعمال المؤسسة 
(ما تركز عليه أعمال المؤسسة) وإدارة وتشغيل تقنية المعلومات في المؤسسة. يُبرز مفهوم 
حوكمة تقنية المعلومات أهمية الأمور المتعلقة بتقنية ال معلومات» كما يؤكد ضرورة 
أن و القرارات الإستراتيجية لتقنية المعلومات بيد أعلى مستويات الإدارة في الشركة 
متضمنا مجلس الإدارة دلا من أن تكون بيد إدارة تقنية المعلومات فقط مثل الرئيس 
التنفيذي للمعلومات 010. في الواقع» لقد تطورت مفاهيم حوكمة تقنية المعلومات منذ 
الأيام الأولى لظهور تقنية المعلومات عندما تخلت الإدارة العليا في كثير من الأحيان عن 
سلطة عمليات تشغيل تقنية ا لمعلومات وتمويلها س أخصائيين يُطلق عليهم الرؤساء 
التنفيذيون للمعلومات 0105» ولكنهم لم يديروا موارد تقنية المعلومات بقوة من منظور 
الإدارة الشاملة. 
وقد كانت نتائج تلك العملية في الاج متمثلة في ظهور بعض العمليات ال ممتازة 
لتقنية المعلومات التي لت 5 ا في العديد من الشركات الرائدة في جميع أنحاء 
العام وسقت من كفاءاتها وزاذت من رة ومع كل ذلك فقد عانت العديد من 
المؤسسات الأخرى من بعض الإخفاقات الجسيمة (الانهيار الكلي) في تقنية ا معلوماتء 
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وكان ذلك بسبب التخطيط السين للمشروعات» تجاوز التكاليف» وإخفاقات على مستوى 

فهم القائمين على الأعمال وتقنية المعلومات لقضايا تقنية المعلومات» وغيرها من الأمور. 

على سبيل المثال» كشف استطلاع رأي أجرته مؤسسة غارتنر في عام ٠٠١٠‏ أن 1٠٠١‏ من 

مجموع الأموال التي تم إنفاقها على تقنية المعلومات قد أهدرت» وهذه النتيجة تمثلء 

على الصعيد العالميء تدميراً ما قيمته الإجمالية قرابة ٠٠١‏ مليار دولار أمريي سنوياً. 

وقد كشف الاستطلاع الذي أجرته شركة آي بي إم (/181) سنة ٠٠١6‏ لأكبر ٠٠٠١‏ من 

الرؤساء التنفيذيين للمعلومات 0105 بأنهم يعتقدون أنء في المتوسط قرابة ×٤٠‏ من 

مجمل الإنفاق على تقنية المعلومات لم يحقق أي عوائد لمؤسساتهم". وفي السنوات 

الأخيرةء كشفت استطلاعات رأي أخرى أن ما بين >٠١‏ إلى <۷١‏ من الاستثمارات الضخمة 

في مشاريع تقنية المعلومات يتم إهدارها بصفة مستمرة: مما يعد عائقاً أو إخفاقاً في 

تحقيق أي عوائد أو فوائد لمؤسساتهم. كل ذلك يشير إلى الحاجة إلى نظم قوية لحوكمة 

تقنية المعلومات المؤسسية. فبدلا من الجدل القائم حول تحديد التعريف الأفضل 

والأصلح لحوكمة تقنية ال معلومات» فإنه يجب على كبار مديري المؤسسات النظر إلى 

عناصر التشابه بين جميع التعريفات الواردة. ففي كل حالة تقريباً تشتمل الحوكمة على 

مزيج مما يلي: 

- التحكم في جميع الجوانب الخاصة بعمل تقنية المعلومات. 

- التنسيق بين الأجزاء المختلفة للأعمال المرتبطة بتقنية المعلومات - مثل تطوير النظم 
الجديدة للبنية التحتية لتقنية المعلومات. 

- قياس مخرجات نظم وعمليات تقنية ال معلومات. 

- الامنثال للسياسات الداخلية لتقنية المعلومات. 

- تبرير الإنفاق على جميع موارد تقنية المعلومات. 

- المساءلة والشفافية على مستوى إدارة تقنية المعلومات والمؤسسة. 

- روابط قوية مع الاحتياجات الخاصة بعملاء تقنية ا معلومات» وواسعة النطاق للمؤسسة» 
وغيرهم من أصحاب المصلحة. 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات 3 


الفصل الثاني 


إن العديد من قضايا حوكمة تقنية المعلومات تلك معنية بسمات نظم تقنية المعلومات 
نفسها متضمنة قضايا التقنية الحديثة» والنظم القدهة التي تستخدم تقنيات قدهة» الأمن 
والتوثيق» والعديد من القضايا الأخرى. إن معالجة مثل تلك المسائل الخاصة بحوكمة تقنية 
المعلومات ليست بالأساس مسألة تقنية» وإنما هي مسألة إدارية. 

لعل السمة الأبرز في القضايا الخاصة بحوكمة تقنية المعلومات في هذا الفصل وغيره 
من الفصول اللاحقة هي أن موارد وقدرات تقنية المعلومات في المؤسسة م تعد شيئاً 
غير مفهوم من جانب الأعمال في المؤسسة:. على الجانب الآخر يتعين أيضاً على تقنية 
المعلومات هذه أن تفهم الأعمال واحتياجاتها. يجب أن تكون القضايا الجوهرية لتقنية 
المعلومات إحدى المسائل التي تخص المديرين التنفيذيين على مستوى مجلس الإدارة إلا 
أنه بسبب الطبيعة التقنية لتقنية ا معلومات قد تُترك بعض القرارات الرئيسية لأخصائيي 
تقنية المعلومات. إن حوكمة تقنية المعلومات عبارة عن النظام الذي هلك فيه جميع 
أصحاب المصالح» ومن ضمنهم مجلس الإدارة والعملاء المحليون وغيرهم كامالية, 
المدخلات الضرورية لعملية صنع القرار. 

ستناقش الفصول التالية العديد من الجوانب والافتراضات المتعلقة بحوكمة تقنية 
المعلومات. وستركز بشكل عام على قضايا المخاطر المؤسسية: وقضايا حوكمة تقنية 
المعلومات. ومسائل قانونية ونظامية وقضايا أمن المعلومات: والتهديدات الداخلية 
والخارجية التي تؤثر في حوكمة تقنية المعلومات. 

تتوافق جميع أهداف حوكمة تقنية المعلومات داخل نموذج شاملء كما هو موضح 
بالشكل التوضيحي .)٤-١(‏ تكون حوكمة تقنية المعلومات محاطة مفاهيم إدارة الأداء 
والتوافق الإستراتيجيء وإدارة ا مخاطرء وتوصيل القيمة. ولتحقيق ذلك. هناك حاجة إلى 
سياسة قوية» وممارسات امتثالء وعمليات لإدارة الأداء والمخاطرء وفهم شامل للتوصيل 
المناسب للقيمة. يعرض الشكل التوضيحي (6-7) هذه المفاهيم على مستوى رفيع» غير أنه 
سيتم الرجوع إليها بالتفصيل في فصول لاحقة. 
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شكل توضيحي (6-7) 


أهداف حوكمة تقنية المعلومات 





قضايا المخاطر المؤسسية لحوكمة تقنية المعلومات: 

تواجه كل مؤسسة مجموعة كبيرة من المخاطر» تشمل عمليات تشغيل الأعمال 
المؤسسية. والعوامل الخاصة بسوق العمل وما يتصل بهاء والأوضاع الاقتصادية العامة 
وقائمة غير منتهية من العوامل الأخرى من المخاطر المؤسسية. وعلى الرغم من أن هذا 
الكتاب لا يسعى لتقديم ومناقشة جميع الجوانب الرئيسية المتعلقة بإدارة المخاطر على 
مستوى اللؤسسة وما يعرف بإطار عمل إدارة ا مخاطر المؤسسية الصادر عن لجنة المنظمات 
الراعية 8 ERM) enterprise risk managemen (COSO)‏ 0050)؛ فإن هناك العديد 
من الجوانب المتعلقة بالإدارة الشاملة للمخاطر المؤسسية. وهي جوانب هامة بالنسبة 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات 3 


الفصل الثاني 


للممارسات الفعالة لتقنية المعلومات على وجة التحديد. سيقدم الفصل الرابع من هذا 
الكتاب معلومات أكثر حول لجنة المنظمات الراعية 0050©. 

ولي تمتلك المؤسسة ممارسات فعالة لحوكمة تقنية المعلوماتء فهي بحاجة إلى أن 
يكون لديها برنامج فعال لتقييم وإدارة المخاطر الشاملة: وا مخاطر اللؤثرة داخل ابلؤسسة» 
وا مخاطر النوعية التي تواجة عمليات التشغيل الخاصة بتقنية المعلومات. يعرض الشكل 
التوضيحي (2-5) بإيجاز بعض القضايا الخاصة بمخاطر حوكمة تقنية المعلومات ويلخص 
بعض الإستراتيجيات الفعالة في إدارة تلك المخاطر. 

ما يواجه كبار المديرين غالباً اعتراضات شديدة أو بسيطة عندما يقومون بقبول وإدارة 
العديد من أنواع المخاطر المتعلقة بتقنية المعلومات. خير مثال على ذلك كلمة السر 
المستخدمة في النظم للوصول لموارد تقنية المعلومات. فتبعاً لأحد الاتجاهات, قد يحتاج 
المدير غير الملم بالتقنية بشكل جيد إلى أن يستخدم أسلوباً بسيطاً وسهلاً التذكر لكلمة 
ا مرورء والتي تكون غالباً مكونة من ثلاثة حروف تمثل الأحرف الأولى من اسمه الثلائي ورقم. 
فالسيدة 10265 ©4112 :2131 قد تستخدم 14[1 كلمة مرور للوصول إلى النظم الخاصة 
بهاء ويمكن تغيير كلمة المرور فقط من خلال تغيير الرقم المكون من عدد واحد من آن 
لآخر عند تغيير كلمات المرور. وبذلك يكون هذا النظام سهل التذكر ولكن يمكن اختراقه 
بسهولة. 

EE‏ أخصائيو أمن المعلومات عادة الذهاب إلى الاتجاه الآخر وهو وضع معايير لكلمة 
المرورء تكون غالباً مركبة من ثمانية حروف أو أكثر منها حروف كبيرة وصغيرةء بالإضافة 
إلى الأرقام والرموز الخاصة وجميعها تتطلب ا بصفة دورية. قد يخلق ذلك ج اا 
أمانا وسريةء إلا أن الكثيرين قد تكون لديهم مشكلة في استدعاء كلمات المرور هذه والتي 
يصعب تذكرهاء ومن ثم يقومون بكتابتها على أوراق ملاحظات لاصقة ووضعها على لوحات 
المفاتيح الخاصة بحواسيبهم. 
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شكل توضيحي (0-7) 


قضايا مخاطر حوكمة تقنية المعلومات 


فهم رغبة المؤسسة في المخاطر 


فهم قبول المخاطر 


ضمان مشاركة الأشخاص المناسبين 


فهم عمليات اختيار الرقابة 


معرقة تكاليق جغالجة احداق 
المخاطر 


غندما تُوَاجَة اللؤسسة ممخاطر اخثيارية.. فعليها أن تدرك مدق 
حجم ومستوى المخاطر التي ستتحملها. فعندما تكون الإدارة 
مستعدة لقبول مشاريع أكثر مخاطرة, ينظر إليها بأن لديها 
RENEE‏ 


ستواجه المؤسسة مخاطر عديدة. ولكن يجب أن يكون هناك 
فهم كاف وواضح لتحديد أي وحدة داخل المؤسسة هي التي 
ستقبل اللخاطرة أو تتحمل مسئوليتها. 

يجب إسناد مسؤوليات الوحدة التنظيمية عن جميع المخاطر 
المحددة. كما يجب على الوحدة التنظيمية الإقرار مسؤوليتها 
عن اتخاذ الإجراءات المناسبة في حال وقوع المخاطر. 


من وجهة نظر ا محاسبة أو التدقيق, تعتبر المخاطر المتبقية هي 
احتمالية أن المدقق لن يستطع الوصول إلى الخطأ الجوهري 
الموجود في التقرير المالي للعميل ومن ثم سيقدم بشكل خاطئ 
تقريراً لا يحمل أي تحفظات حول دقّة الحسابات. وبالمفهوم 
نفسه. قد تكون الإدارة غير مدركة للآثار المترتبة على المخاطر 
ومن ثم تقبل المخاطر أو تقر بهذه الأشياء. 


تختاج المؤسسنة إلى مغرفة تكاليف ومقتضيات الضوابظ 
المختلفة التي هكن أن تقوم بوضعها استجابة مختلف المخاطر 
امحددة. 

ستواجه اللؤسسة العديد:من المخاطرء لذا يجب أن يكون لذيها 
معرفة جيدة بالتكاليف اللازمة لمعالجة مختلف الأمور في حال 
وقوع المخاطر المحددة. 





دليل المسئول التنفيذي لحوكمة تقنية المعلومات ۷ 


الفصل الثاني 


وضع إستراتيجية واضحة للتخفيف | يجب أن يكون لدى ال مؤسسة إستراتيجية محددة ومسببة 


على نحو جيد حول ماهية الإجراءات أو التدابير التي يجب 
اتباعها في حال حدوث مخاظر مرتبظة بتقنية المعلومات: 


فهم عمليات اختيار الرقابة | هناك العديد من الاعتبارات في حال حدوث مخاطر مرتبطة 
بتقنية المعلومات. لذا يجب على ا لمؤسسة أن تقوم بتطوير 
الضوابط الملائمة التي سوف تقوم بمعالجة تلك المخاطر 
ته E‏ 





إن الفكرة الرئيسية وراء متطلبات وإستراتيجيات المخاطر الموضحة في الشكل التوضيحي 
(0-0) هو أن المؤسسة بحاجة إلى أن يكون لديها معرفة بمختلف أنواع المخاطر المتعلقة 
بتقنية المعلومات التي تواجهها وكذلك التكاليف والإستراتيجيات البديلة لاتخاذ الإجراءات 
التصحيحية المتبعة في حال وقوع مثل تلك المخاطر. إن المصطلح أو المفهوم الهام جداً 
هنا هو ما يسمى الرغبة في المخاطر ٤ا۴‏ مم4 18151. بمعنىء ما حجم المخاطر التي على 
استعداد أن يتقبلها أحد كبار المديرين أو المؤسسة بأكملها؟ فالمستثمر الفردي الذي يضع 
أمواله في سندات شركة تصنيفها (84) يمتلك شهية مخاطر أقل بكثير من المستثمر الذي 
يضع أمواله في سوق أسهم شركات التقنية المضاربة. 

إن الإلمام بقضايا المخاطر المؤسسية يعد مطلباً لتطبيق العمليات الفعالة لحوكمة 
تقنية المعلومات. إننا في الواقع نحتاج دائماً إلى أن ندرك أن كل مجال من مجالات تقنية 
المعلومات وعمليات التشغيل الشاملة للأعمال تشتمل على مخاطر لأنشطة أو أحداث غير 
مخطط لها. لذلك يجب أن يكون لدينا دائماً إستراتيجيات وعمليات معمول بها للاستجابة 
بشكل ملائم لتلك المخاطر في حال حدوث أي منها. 


قضايا التنظيم المؤسسي لحوكمة تقنية المعلومات: 

لقد توسعت قضايا واهتمامات حوكمة تقنية المعلومات لتصل إلى ما هو أبعد من إدارة 
تقنية المعلومات ومواردها فقطء بل يجب أن تشمل العديد من القضايا والاهتمامات على 
مستوى المؤسسة بأكملها. لذلك يجب علينا أن ننظر دائماً إلى مورد تقنية المعلومات في 
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المؤسسة بأنه ليس مجرد عنصر متفرد بل هو أحد الوحدات أو المكونات التي لها طبيعة 
خاصة بالنسبة للمؤسسة بأكملها. بعض تلك القضايا الخاصة بالحوكمة موضحة بالشكل 
التوضيحي (5-9). 

إن الرسالة التي يريد الشكل التوضيحي (1-5) أن يبعث بها هي أنه على الرغم 
من أن إدارة تقنية المعلومات قد تقوم بتطوير عمليات وإجراءات للحوكمة تؤثر في 
نظم وعمليات تشغيل تقنية المعلومات الخاصة بها فإنه يجب عليهم التفكير دائماً 
في تلك العمليات والإجراءات في إطار أكبر من ذلك بكثير يشمل المؤسسة بأكملها. 
قعل شيل اال من التبهل عدا ينان أن هناك الد مو الكو ةرك اة 
بالحوكمة تؤثر في المسؤولية الائتمانية للمؤسسة وفي مديريها الأساسيين بوجه خاص 
للحفاظ على استثمارات المستثمرين وتعزيزها على جميع المستويات. إذ يمكن أن يؤدي 
الإخفاق أو القصور في هذا الأمر إلى رفع الدعاوى المدنية أو حتى القانونية على مديري 
المؤسسة. والاعتبار الذي له صلة هنا هو أن المؤسسة وعملياتها التشغيلية الخاصة 
بتقنية المعلومات لا يملكون مجموعة مفتوحة أو غير منتهية من الموارد لأخذ الإجراءات 
فة هة لذاخت أن وازن + ا4ا بين أن تخا الجر ات اتخ تة وين 
موارد المؤسسة بأكملهاء 

يشير الشكل التوضيحي )١-۲(‏ إلى قضايا الاختصاص والحدود على أنها أحد مكونات 
حوكمة تقنية المعلومات. فمع أنه قبل سنوات ليست بالكثيرة كانت موارد تقنية المعلومات 
في المؤسسة توضع خلف أبواب مغلقة محكمة السرية وتكون غالباً مرفقة في موقع منعزل 
عن باقي العمليات التشغيلية للمؤسسة:. إلا أن هذا لا يجب أن نعنا في أن ننظر دائماً إلى 
العمليات التشغيلية الخاصة بتقنية المعلومات على أنها العنصر الرئيسي في عملية استمرار 
باقي العمليات التشغيلية الأخرى في المؤسسة. على أية حالء يجب علينا أن نتذكر دائماً أن 
هناك حدوداً موجوذة..ويجِب أن تدرك العمليات التشغيلية التقنية والمالية وغيرها الحدوة 
بين مختلف مجالات المسؤولية عند وضع عمليات الحوكمة. 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات Vr‏ 


الفصل الثاني 


حوكمة تقنية المعلومات والقضايا التشريعية والتنظيمية: 

بدأنا هذا الفصل بتقديم نبذة مختصرة عن بعض العناصر الأساسية في قانون 2501 
وهو أحد العناصر الهامة في التشريع التي تؤثر في المراجعة والتقارير المالية وضوابطها 
الداخلية. وبالرغم من احتوائه على العديد من القواعد التشريعية الرئيسية. فإن 501 
هو مجرد قانون من بين العديد من القوانين التنظيمية والتشريعية الرئيسية وحتى 
القوانين الثانوية التي تؤثر في العمليات التشغيلية لحوكمة تقنية المعلومات. يغطي 
بعض هذه القوانين كامل العمليات التشغيلية المؤسسية على المستوى المحلي أو الدولي. 
في حين يختص البعض الآخر بشكل أكبر بأمن تقنية المعلومات. وفي حالات أخرى» نجد 
أن العمليات التشغيلية لحوكمة تقنية المعلومات لا تتأثر بالقواعد والقوانين التشريعية 
الحكومية. ولكنها تتأثر با معايير المهنية غير الإلزامية ولكنها ضرورية للبقاء على الأقل في 
المنافسة. 

ستقدم الفصول اللاحقة وتناقش بعض القضايا التشريعية والتنظيمية المتعلقة بحوكمة 
تقنية المعلومات بمزيد من التفصيل. على سبيل المثالء يقدم الفصل العاشر من هذا الكتاب 
نبذة عامة عن بعض من بين العديد من قوانين أمن تقنية المعلومات التي تؤثر في ا مؤسسة هذه 
الأيام. ويناقش الفصل الحادي عشر العناصر الهامة الخاصة بمعيار أمن البيانات الخاص بصناعة 
بطاقات الدفع Payment Card Industry Data Security Standard (PC1 D55)‏ التي 
تعتبر مجموعة هامة من القواعد المؤثرة في أي مؤسسة تستخدم بطاقات الائتمان في العمليات 
التشغيلية الخاصة بأعمالها. وعلى المستوى الآخرء يقدم الفصل السابع من هذا الكتاب بعض 
المعايير العالمية في حوكمة تقنية المعلومات مثل معيار أيزو ١86٠١‏ (38500 150). والتي لا 
تعتبر قواعد تشريعية بل معايير امتثال يجب اتباعها من قبل أي مؤسسة ذكية. 
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شكل توضيحي (5-9) 


قضايا حوكمة تقنية المعلومات المؤسسية 


القضية على مستوى المؤسسة الاعتبارات الخاصة بحوكمة تقنية المعلومات 


عمليات رصد المخاطر في أ هي أكثر من مجرد تحديد لأنواع ومستويات مختلفة للمخاطر 
الشركات المؤسسية والتقنية التي يمكن أن تؤثر في المؤسسة:. لذا يجب أن 
تكون هناك عمليات جَعمول بها ومستمرة لتجديد خالة:تلك اللخاطر 
الخد دة إل خافن وجوة خطظ عمل نارو وذلك لخاد الإدرادات 
المناسبة في حال وقوع المخاطر. 


هي أكثر من مجرد مراقبة لحالة المخاطر المتعلقة بحوكمة تقنية 
المعلومات» لذا يجب أن تكون هناك عمليات إدارية معمول بها 
لاتخاذ الإجراءات المناسبة في حال وقوع المخاطر. ويعتبر ذلك صعباً 
خاصة في حال اشتمل الإجراء المخطط له على بعض الأمور كإيقاف 
تشغيل الشبكة التقنيةء وهو الأمر الذي يتطلب قرارات إدارية قوية 
وحاسمة. 


مخاطر انتهاك خصوصية | سواء كانت سجلات أعمال أم سجلات مالية أو بيانات شخصية: فإن 
سجلات البيانات الخاصة | المؤسسة تحتفظ في سجلاتها وأنظمتها بكميات هائلة من البيانات 
وبيانات الأعمال والمعلومات التي يجب حمايتها. 


مخاطر الإلزام غير الفعال | تطبق قضايا حوكمة تقنية المعلومات غالباً على أنماط محدودة أو 
وفض النزاعات متعددة من الإجراءات التصحيحية ذات الأهمية التي تتخذ عند 
تنفيذ الإجراءات ال مناسبة. لذا يجب أن تكون هناك عمليات إدارية 

نظامية وقوية ومجربة. 


مخاطر شح الموارد المالية | في حين أنه من السهل في بعض الأحيان بالنسبة للمختصين أن 
يقوموا بتطوير خطة علاجية للمخاطرء إلا أن قلة ا موارد المالية لدى 
المؤسسة قد تحول دون استخدام تلك الخطة. 
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الفصل الثاني 


مخاطر الإخفاق في فهم جميع | تركز إدارات تقنية ا معلومات غالباً على العمليات التشغيلية الخاصة 
مسؤوليات الأعمال وحاجات | بالبنية التحتية لتقنية المعلومات الخاصة بها ولكنها تخفق في فهم 
أصحاب المصالح متطلبات ومخاطر العملية الشاملة للمؤسسة:. وكذلك تلك التي 

تخص أصحاب المصالح كالباعة وا موردين الرئيسيين. 


مخاطر المسؤوليات الائتمانية | على جميع المستويات. تحتاج المؤسسة وعمليات تشغيل تقنية 


المعلومات (الخاصة بها أو التابعة لها) أن يتذكروا دائماً أن لديهم واجب 
حماية الأصول والاستثمارات الخاصة بأصحاب المصالح والمقرضين. 


مخاطر تحديد الحدود في كثير من الأحيان» نرى أن أنشطة مراقبة ومعالجة المخاطر تمتد 
والسلطة لتتجاوز عمليات تشغيل تقنية المعلومات لتصل إلى المؤسسة بأكملها 
وإلى جميع أصحاب المصالح الآخرين الرئيسيين. لذا فهناك حاجة 

ماسة للتعرف على السلطات والحدود 





تعتبر القواعد والقضايا التنظيمية والتشريعية من العناصر الهامة في العمليات الفعالة 
لحوكمة تقنية المعلومات. فعلى إدارة المئؤسسة مراقبة تلك القواعد واتخاذ الخطوات 
المناسبة للتأكيد على الامتثال بها. 
شكل توضيحي (۷-۲) 
قضايا الأمن الخاصة بحوكمة تقنية المعلومات 

مخاطر السياسات يجب أن يكون لدى المؤسسة إجراءات قوية لكشف ومنع محاولات 
والإجراءات الأمنية الاختراقات والتطفلات الخاصة بأمن تقنية المعلومات. ويجب أن 
يكون هناك أيضاً فريق مختص ومهاري ممراقبة أمن تقنية ا معلومات 

واتخاذ الإجراءات التصحيحية إذا تطلب الأمر. 


قضايا التخطيط لاستمرارية | يجب أن يكون هناك عمليات مفعلة لاسترجاع العمليات التشغيلية 
الأعمال في حال حدوث اضطرابات غير متوقعة للعمليات التشغيلية والنظم. 
ويجب فحص هذه النظم بالكامل للمحافظة على الوضع الراهن 

لتعكس التغيرات الحاصلة في العمليات التشغيلية الؤسسية. 
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مخاطر البرمجيات الضارة | يجب أن تدرك الإدارة أن جميع الأنظمة هذه الأيام عرضة لمجموعة 
واسعة ومتطورة باستمرار من البرمجيات الضارة التي لديها المقدرة على 
تخطي عمليات الكشف عنها بحيث تقوم بتغيير نفسها بمجرد إطلاقها. 
متطلبات الكشف الفعال | يجب أن تعمل المؤسسة على إيجاد الأدوات اللازمة مراقبة جميع 
للتسلل وأدوات مراقبة أمن | الجوانب المتعلقة بأمن تقنية المعلومات. على الصعيدين الداخلي 
تقنية ا معلومات والخارجي» واتخاذ الإجراءات العلاجية الفعالة عند الحاجة. 

يجب تحديد جميع أصول تقنية المعلومات من البرمجيات وا لمعدات 
بشكل مناسب» وتحديد نقاط الضعف الأمني الخاصة بها مع خطط 

أعمال تصحيحية مجربة ومطبقة ومفعلة. 
مخاطر مراقبة أمن تقنية | يجب أن تكون هناك أدوات معمول بها لرصد ومراقبة جميع الجوانب 
المعلومات المتعلقة بأمن تقنية المعلومات والبدء بالإجراءات الملائمة عند تحديد 

أي اختراقات أو هجمات أمنية. 
مخاطر سياسات التشفير | يجب إيجاد سياسات تشفير فعالة واستخدامها عند الضرورة لتحسين 
وإدارته ال ممارسات الخاصة بحوكمة تقنية المعلومات. 


مخاطر أمن تقنية المعلومات | يجب توافر سياسات وأدوات تدريبية لضمان اتباع جميع أصحاب 
الخاصة بأصحاب المصلحة | المصلحة المعنيين في المؤسسة لإجراءات مناسبة لأمن تقنية ا معلومات. 





القضايا الأمنية لحوكمة تقنية المعلومات: 

نظراً لترابط العمليات التشغيلية لتقنية المعلومات في المؤسسة على الصعيدين الداخلي 
والخارجي من خلال الإنترنت والعديد من الروابط الأخرىء فإن أمن تقنية المعلومات 
يعتبر من القضايا الرئيسية في حوكمة تقنية المعلومات. حيث يدرك العديد من عملاء 
ومستخدمي تقنية المعلومات أن نظمهم وبياناتهم عرضة لشريحة واسعة من الدخلاء 
والمتطفلين من الذين تتراوح اهتماماتهم من مجرد التشويش على العمليات التشغيلية 
لتقنية المعلومات لصالح جهة ما إلى أن تصل إلى حد تخريب النظم والبيانات لتحقيق بعض 
المكاسب. لذا يعتبر وجود الضوابط الفعالة لأمن تقنية المعلومات من العناصر الهامة في 
حوكفة :فة اكات 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات Ww‏ 


الفصل الثاني 


يحب أن يكون لدى امدير التنفيذي هذه الأيام معرفة عامة عالية المستوى في 
القضايا الأكثر تأثيراً في أمن تقنية المعلومات والمهمة بالنسبة للحوكمة الفعالة لتقنية 
المعلومات. فمع أن هناك العديد من القضايا ا مختلفة في هذا المجالء فإنه يجب 
على مدير الأعمال أن يفهم التهديدات والمخاطر الخاصة بتقنية المعلومات بل يجب 
عليه أيضا البحث عن مساعدة تقنية متخصصة بداخل المؤسسة لتقوم بتطبيق الأنواع 
الموضحة بالشكل التوضيحي )۷-١(‏ للعمليات الأمنية الخاصة بحوكمة تقنية المعلومات 
بشكل أكثر فاعلية. 


التهديدات الداخلية والخارجية لحوكمة تقنية المعلومات: 

بالإضافة لقضايا حوكمة تقنية ا لمعلومات الأكثر تخصصية: فإن اللؤسسة تتعرض 
لحجم هائل من التهديدات الأمنية الداخلية والخارجية. فقد تمتد التهديدات الخارجية 
من مجرد أمور أشبه بالهجوم الإرهابي الذي تقوم به إحدى الحكومات الأجنبية المتورطة 
بقضايا التجسس إلى أن يصل إلى مخاطر تتعلق بالحوسبة السحابية وأكثر. فعلى الرغم 
من أننا سوف نناقش بعض التهديدات التقنية المتعلقة بالحوسبة السحابية في الفصل 
التاسع من هذا الكتاب» فإن المؤسسة تواجه هذه الأيام مجموعة واسعة من التهديدات 
الخارجية التي تهذد مواردها التقنية والعمليات التشنغيلية الخاصة بأعمالها أيضاً. لذا 
يتعين على المدير التنفيذي في هذه الأيام التأكد من أنه تم الاستعانة بأدوات مراقبة 
ورصد مناسبة وبأشخاص مهرة لمراقبة مثل تلك التهديدات واتخاذ الإجراءات التصحيحة 
المناسبة. 

يمكن مراقبة عمليات حوكمة تقنية المعلومات الخاصة بالتهديدات الداخلية والتحكم 
بها بشكل أفضل في أغلب الأحيان. ومع أننا لا نعرف مطلقاً الوقت الذي سيقوم به بعض 
الدخلاء غير المتوقعين بمهاجمة نظم تقنية المعلومات الخاصة بناء فإننا نستطيع تقليص 
مخاطر التهديدات الداخلية عن طريق وضع سياسات وإجراءات داخلية قوية تشمل 
العديد من تلك السياسات والإجراءات التي تمت مناقشتها في هذا الفصل إلى جانب 
بناء فريق مؤسسي يدرك فيه جميع أصحاب المصالح لأدوارهم ومسؤولياتهم ولتوقعات 
الإدارة. 


0 دليل المستول التنفيذي لحوكمة تقنية المعلومات 


المفاهيم الآساسية للحوكمة وقواعد قانون ساربينز أوكسلي <50 


كما ذكرنا في هذا الفصلء فإن حوكمة تقنية الملعلومات هي المجال الواسع الذي يشمل 
العديد من المجالات الخاصة بالعمليات التشغيلية المؤسسية وتتجة جيدا إلى ما هو أكثر 
من مجرد إدارة تقنية المعلومات. وهي أكثر بكثير من الموضوع الساخن الحالي الذي يثير 
ضجة كبيرة. لذا يجب أن يعمل كبار المديرين التنفيذيين في المؤسسة اليوم جنباً إلى جنب 
مع الكادر التقني وأخصائيي أمن المعلومات لديهم إلى جانب المدققين الداخليين لتطوير 
ممارسات قوية لحوكمة تقنية المعلومات. ستقدم الفصول اللاحقة المزيد من المعلومات 
والنقاشات التي تدور حول تطبيق ممارسات فعالة في حوكمة تقنية معلومات. 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات ۷۹ 


الفصل الثاني 


ملاحظات: 

1. على الرغم من أننا نقدم مجرد ملخص عالي المستوى لمتطلبات قانون ×50» فإن 
Robert Moeller, Sarbanes-Oxley Internal Controls: Effective Auditing"‏ 
"(with AS5, CobiT, and ITIL (Hoboken, NJ: John Wiley & Sons, 2008‏ 
يقدم الكثير والمزيد من المعلومات. 

2. على اعتبار أنها وثيقة عامةء فإنه هكن العثور على نص القانون في العديد من مواقع 
الويب. أحد هذه المصادر هي: 

http://fl1.findlaw.com/news.findlaw.com/hdocs/docs/gwbush/ 
.sarbanesoxley072302.pdf 

3 كاحت مبادئ الغانون: حتی لو ظهر انتهاك اصطلاحي للقانون ا لنص القانون» فإن 
كان تأثيره ا 1 بحيت لا يكون له أي عواقب» فإن انتهاك القانون في هذه الحالة 
لن يعتد به كسبب كاف لاتخاذ أي إجراء» سواء كانت هذه الإجراءات مدنية أم جنائية. 

Steve Crutchley, “IT Governance Helping Business Survival,” www. .4 
.slideshare.net/khanyasmin/it-governance-consult2comply 

5. ممزيد من المعلومات حول إدارة المخاطر المؤسسية و إدارة ا مخاطر المؤسسية الخاصة بلجنة 
ا منظمات الراعية (COSO ERM)‏ انظر " Robert Moeller’s COSO Enterprise‏ 
(Risk Management, 2nd ed. (Hoboken, NJ: John Wiley & Sons, 2011‏ ". 


۸۰ دليل المستول التنفيذي لحوكمة تقنية المعلومات 


الفصل الثالث 
حوكمة المؤسسات وأدوات الحوكمة وإدارة المخاطر 
والامتثال GRC‏ 


واجهت جميع الشركات التجارية والشركات المساهمة العامة بصفة خاصة منذ نشأتها 
قضايا تتعلق باحتياجات ومتطلبات الحوكمة. فبالنسبة للعديد من المؤسساتء كانت 
الإدارة العليا غالباً هي التي تأخذ زمام المبادرة في البداية للقيام بوضع سياسات وقواعد 
الامتثال للأعمال التي يجب التقيد بها واتباعها من قبل موظفيها وغيرهم. وبالرغم من 
أن ذلك كان مناسباً بالنسبة للملكيات الفردية الصغيرة أو للشركات المركزية التي كانت 
موجودة في العصور الماضية» فإن العديد من المؤسسات الكبيرة المتعددة الوحدات تحتاج 
إل هبات غل اناف واخ لوقع مذل هده التسياسات والإسزاء اكه لي آنا اة إن 
عمليات حوكمة ذات كفاءة وفاعلية. 

ستكون الحياة أسهل بكثير بالنسبة لبعض المؤسسات التي تعتمد فقط على قيادة 
مركزية قوية» رئيس تنفيذي 080 مهيمنء ليفوض ويدير مباشرة تطبيق أي قاعدة من 
القواعد المطلوبة للحوكمة. من ناحية أخرى» تَوَاجَه الشركات في هذه الأيام على مختلف 
أماكنها وأحجامها مجموعات متزايدة وبشكل غير مسبوق من القواعد والإجراءات التي 
تمتد من السياسة المحلية وقوانين السلامة العامة إلى القوانين واللوائح الحكومية التي 
تصدر على مستوى الولاية والمستوى الوطنيء وفي بعض الأحيان على المستوى الدولي هذا 
بالإضافة إلى وجود مجموعة كبيرة من القواعد المهنية الهامة. ويتعين على المؤسسة أن 
تلتزم بتلك اللوائح والقوانين والقواعد على جميع المستويات. وقد يترتب على عدم التزام 
الشركة بها فرض العديد من العقوبات الجزائية عليها. فكل مؤسسة تحتاج إلى عمليات 
تضمن التزامها بالقوانين والتشريعات الضرورية. 

تكون المؤسسة دائماً عرضة للمخاطر التي تتعلق بعدم فهم أو تفسير القواعد كما 
ينبغي أو قيامها بانتهاك واحد أو أكثر من القوانين والنظم التشريعية المتعددة. كما يوجد 


دليل امستول التنفيذي لحوكمة تقنية المعلومات ۸ 


الفصل الثالث 


هفاك مخاطر أيضاً تتعلق بعدم قدرة قواعد الحوكمة التي قامت المؤسسة بوضعها على 
تحقيق النتائج المرجوة, أو أن تواجه المؤسسة بعض الأحداث الخارجية الطارئة الخارجة عن 
سيطرتهاء كحدوث تحولات اقتصادية كبيرة» أو التعرض لهجمات إرهابية أو تحولات اقتصادية 
كبيرة تؤثر في منطقة عملياتها التشغيلية» أو اندلاع حريق في أحد ال مرافق الرئيسية للمؤسسة. 
لذا فهناك حاجة إلى فهم وإدارة جميع تلك المخاطر على مستوى المؤسسة بأكملها. 

وعلى الرغم من أذ للؤشهسلة تكون 5اا قلقة إزاء العديد من القضايا المختلفة التي 
تخص الحوكمة: وإدارة المخاطر, والامتثال. إلا أن السمة الرئيسية لهذا الكتاب أنه قام 
بجمع كل من هذه ا مخاوف الثلاثة معاً في سياق تقنية المعلومات وفيما يعرف أيضاً بمبادئ 
الحوكمة وإدارة المخاطر والامتثال جي آر سي .)6G۸©(‏ وبينما ستناقش الفصول القادمة 
قضايا أهمية ممارسات الحوكمة المؤسسية وأساسيات إدارة المخاطر وممارسات حوكمة 
الشركات» سيركز هذا الفصل على أهمية إنشاء مجموعة قوية من مبادئ الحوكمة المؤسسية 
وإدارة المخاطر والامتثال أو ما يعرف بمبادئ 610 التي تعد أحد العناصر الهامة في 
حوكمة تقنية المعلومات. 


الطريق نحو مبادئ فعالة للحوكمة وإدارة المخاطر والامتثال ©612: 

حتى مطلع القرن الحالي لم يكن أحد من المهنيين قد سمع بمصطلح 6۸٣‏ الشائع 
بكثرة هذه الأيام.. حيث يشير الحرف الأول في هذا المصطلح إلى الحوكمة عع صةط601»2©: 
ليست حوكمة تقنية المعلومات فحسب» إنما هي حوكمة الأمور المتعلقة بكامل المؤسسة. 
باختصارء فإن الحوكمة تعني الاهتمام بالأعمال ورعايتها والتأكد من أن جميع الأمور تتم 
وفقا للمعايير واللوائح التنظيمية للمؤسسة وكذلك قرارات مجلس إدارة المؤسسة: بالإضافة 
إلى القوانين والقواعد الحكومية. وهي تعني أيضاً طرح توقعات أصحاب المصلحة بشكل 
واضح فيما ينبغي عمله كي يكون أصحاب المصالح جميعهم متفقين على الهدف نفسه فيما 
يخص الكيفية التي تعمل بها امؤسسة. 

في حين يشير الحرف ۸ في المصطلح G۸٣‏ إلى المخاطر >8151. فكل ما نقوم به وكذلك 
الجوانب المتعلقة بعمليات تشغيل الأعمال قد ينطوي على نوع ما من المخاطرة. فعندما 
يتعلق الأمر مثلاً بأحد الأشخاص الذي يجري عبر أحد الطرق السريعة: أو الطفل الذي 
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يلعب بأعواد الثقاب» فمن الواضح هنا أن هذه المخاطر المؤكدة لا يجب قبولها بالمرة. أما 
عندما يتعلق الأمر بالأعمالء فإنه ومع ذلك تصبح عوامل المخاطرة طريقة للمساعدة في 
حماية قيم الأصول الحاليةء هذا من جانب» ومن جانب آخر طريقة لخلق قيم جديدة من 
خلال التوسع الإستراتيجي للشركة أو إضافة منتجات وخدمات جديدة. 

وأخيراً يشير الحرف الأخير © في هذا المصطلح G۸٥‏ إلى الامتثالء أي التقيد أو الالتزام 
بالعديد من القوانين والتعليمات التي تؤثر في الأعمال والمواطنين اليوم. وأحياناً يقوم الناس 
بتوسيع مفهوم الامتثال ليشمل أيضاً الضوابط الرقابية 0081:015. وهذا يعني أنه من 
المهم وضع ضوابط محددة موضع التنفيذ للتأكد من تحقيق الامتثال. على سبيل المثال» 
قد نقصد بذلك القيام بمراقبة الانبعاثات الخاصة بأحد المصانع أو التأكد من أن المستندات 
الخاصة بوارداته وصادراته سليمة ومطابقة للنظام. أو أنها قد تعني فقط وضع ضوابط 
جيدة للمحاسبة الداخلية وتطبيق متطلبات تشريعية بطريقة فعالة مثل القواعد الخاصة 
بقانون ×80 التي سبق مناقشتها باختصار في الفصل الثاني من هذا الكتاب. وبضم هذه 
الحروق جنها مها لذ تكو ن لرك و إذازة اللخاظر واكان 61:6 هو اما يحي أن 
تفعله لرعاية ا مؤسسة فحسب. إنما هو عبارة عن نموذج أولي يساعد في نمو تلك المؤسسة 
بأفضل وسيلة ممكنة. 


كما ذكرنا في الفقرات التمهيدية: م يتم مسبقاً التطرق إلى مبادئ الحوكمة وإدارة ا مخاطر 
والامتثال G۸٥‏ والنظر إليهم على أنها مجموعة موحدة من المبادئ من قبل جميع المؤسسات» 
والشركات على وجه الخصوص. فبمقدار ما كانت المؤسسة تدير أو تهتم بأي من هذه 
المجالات الثلاثة. بقدر ما كانت غالباً تديرهم معاً بصورة أقل كفاءة عما إذا تمت إداراتهم 
كمجالات أو اهتمامات منفصلة. إن إدارة المخاطر هنا هي الحالة التقليديةء فقد فكرت 
المؤسسات بإدارة المخاطر من ناحية التغطية التأمينية. وقامت بإدارة مخاطرها من خلال 
إدارة التأمين إذ إنها كانت في أغلب الأحيان لا تملك الكثير لتفعله حيال العمليات التشغيلية 
الأخرى في المؤسسة. وكذلك بالنسبة للامتثال» فنحن بحاجة دائماً للتوافق مع جميع مستويات 
الإجراءات الموضوعة» متضمنا ذلك القواعد التي تم وضعها للمساعدة في إدارة المؤسسة. 
ولكن لم يسبق على مر التاريخ أن قمنا بدمج هذه المجالات الثلاثة معا لتشكل ما يعرف 
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بمبادئ الحوكمة وإدارة ا مخاطر والامتثال ©612. فمصطلح G۸٥‏ اليوم متعارف عليه بشكل 
متزايد حيث يعكس أسلوبا جديدا تستطيع المؤسسات من خلاله اعتماد نهج متكامل لدمج 
تلك الجوانب الخاصة بأعمالهم» كما أنه يعكس أسلوباً جديداً يمكن المؤسسات من اعتماد نهج 
موحد ومتكامل لجميع الجوانب الثلاثة في قالب واحد أثناء إتمام أعمالهم. 

بالذهاب إلى أبعد من كونه مجرد اختصار» نجد أنه من المهم تذكر تلك المجالات 
المحورية لكل من الحوكمة وإدارة المخاطر والامتثال. فكل مجال من هذه المجالات يتكون 
من أربعة مكونات أساسية لنموذج G۸٣‏ وهم: الإستراتيجيةء والعمليات» والتقنية» والناس. 

يوضح الشكل التوضيحي )١-١(‏ هذه المفاهيم الخاصة مبادئ 610 فمبادئ الحوكمة 
وإدارة المخاطر والامتثال يجب أن تكون محاطة بإحكام لربط هذه المبادئ معاً. ويوضح 
الشكل أيضاً أن السياسات الداخلية هي العوامل الرئيسية التي تدعم الحوكمة؛ وأن اللوائح 
التنظيمية الخارجية هي التي تقود مبادئ وقواعد الامتثالء وأن ما نطلق عليه رغبة 
المؤسسة في المخاطر يعد أحد العناصر الرئيسية في إدارة المخاطر. 

يعتبر مصطلح الرغبة في ا مخاطر 6أذاءممة 10151 من المصطلحات الجديدة نوعاً ما 
بالنسبة للعديد من المهنيين في مجال الأعمال وتقنية المعلومات. فهو يشير إلى مقدار ونوع 
المخاطر التي تستطيع المنظمة متابعتها وتحملها. فعلى سبيل المثال» المستثمر الذي يضارب 
بأمواله فيما يظلق عليه غالباً ب "الأسهم ذات الدولار الواحد 5كا5]06 2م26" التي تكون 
محفوفة بالمخاطر, تكون لديه رغبة عالية في ا مخاطرء في حين أن المستثمر الذي يستثمر 
أمواله في صناديق سوق امال الآمنة تكون لديه رغبة منخفضة في المخاطر. ويمكن تطبيق 
السيناريو نفسه على العديد من قرارات الاعمال المؤسسية. 

يوضح الشكل التوضيحي )١-۲(‏ أيضاً مكونات الإستراتيجية. والعمليات الفعالة» والتقنيات 
(ا فيها تقنية المعلومات '11)» والناس داخل المؤسسة للقيام بكل هذا العمل. وعلى الجانب 
الأيسر للمثلث من الخارج» يوضح الشكل حاجة المؤسسة لاهتمام ودعم الإدارة وأن السلوك 
الأخلاقي السليم والكفاءة التنظيمية وتحسين الفاعلية تعد من العناصر الأساسية. وستتناول 
الأقسام التالية من هذا الفصل كل مكون من المكونات الخاصة بنموذج 6۸٣‏ بمزيد من 
التفصيل» وسنقوم أيضاً بالحديث عن العديد منها في فصول أخرى من هذا الكتاب. 
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أهمية الحوكمة في نموذج 6160© 
يجب التفكير با مبادئ الثلاثة الرئيسية الخاصة بنموذج 6180 والداعمة لحوكمة تقنية 
المعلومات على أنها تيار واحد من المفاهيم المستمرة والمترابطة بحيث لا يكون لأي منهاء 
سواء الحوكمة 6 أو إدارة المخاطر ۸ أو الامتثال »٤‏ أهمية زائدة عن الآخرين. وحيث إن 
غالبية الفصول القادمة تغطي العديد من جوانب حوكمة تقنية المعلومات» فإننا سنبداً 
الحديث هنا عن الجانب الخاص بالحوكمة © في نموذج ©61. 
شكل توضيحي (1-8) 


المفاهيم الخاصة بنموذج 10 © 


السياسات الداخلية 






اللشارافراين 
الخارجية 
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حوكمة الشركات أو المؤسسات هو مصطلح يشير بشكل واسع إلى القواعد أو العمليات 
أو القوانين التي بها يتم تشغيل الأعمال وتنظيمها ومراقبتها. ويمكن أن يشير هذا المصطلح 
إلى العوامل الداخلية التي تم تحديدها أو تعريفها بواسطة المسؤولين أو أصحاب المصالح 
أو دستور الشركة بالإضافة إلى القوى الخارجية كمجموعات المستهلكين والعملاء واللوائح 
التنظيمية الحكومية. 

نزولاً من المستويات العليا للشركة ووصولاً إلى العديد من المجالات الخاصة بالعمليات 
التشغيلية في الشركة» يمكننا تعريف حوكمة المؤسسات على أنها المسئوليات والممارسات 
التي يتم تنفيذها من قبل مجلس الإدارةء والإدارة التنفيذية العلياء وجميع المستويات 
الخاصة بالإدارة الوظيفية العلياء بهدف توفير توجه إستراتيجيء والتأكد من أن الأهداف 
الموضوعة قد تم تحقيقهاء والتأكد من أن المخاطر قد تمت إدارتها بالأسلوب المناسب» 
وفحص ما إذا كانت موارد المؤسسة قد تم استخدامها بشكل معقول. فالحوكمة في 
الواقع تشير إلى عملية وضع القواعد والإجراءات في جميع مستويات ام مؤسسة» وتوصيل 
هذه القؤاعن إل اللسهويات اللتاسنبة من أضحاب اللضلحة»:ومراقبة الأذاء وفقا للك 
القواعدء ومن ثم إدارة المكافآت والعقوبات بناء على الأداء أو الامتثال النسبي لتلك 
القواعد. 

توفر مجموعة مبادئ حوكمة الشركات أو المؤسسات المعرفة بشكل جيد والتي 
يتم إنفاذها بأسلوب جيد. على الأقل من الناحية النظريةء الأعمال التي تصب في 
مصلحة كل فرد مهتم بضمان أن تلتزم المؤسسة بالمعايير الأخلاقية المعتمدة واتباع 
أفضل المممارسات» بالإضافة إلى اللوائح والقوانين والمعايير الرسمية المناسبة. لقد لاقت 
قضايا حوكمة الشركات الممزيد من الاهتمام في السنوات الأخيرة نتيجة الفضائح المدوية 
الناجمة عن سوء استخدام السلطة في الشركات. وسوء التقديرات الماليةء وفي بعض 
الحالات» ممارسة أنشطة جنائية من قبل مسئولي الشركة. إن وضع أحكام قضائية, 
سواء كانت مدنية أم جنائية: لإدانة الأفراد الذين يقومون بأعمال لا أخلاقية وغير 
قانونية باسم الشركة بعد وا كملا تىا للنظام الجيد والفعال الخاص بحوكمة 
الشركات: 
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وعلى الرغم من أننا كثيراً ما نقوم بوصف جميع مفاهيم الحوكمة الخاصة بالمؤسسات 
أو الشركات باستخدام القليل من الفقرات القصيرة أو باستخدام صور واحدة» فإن الشكل 
التوضيحي )١-۲(‏ يعرض مجالات تتعلق بمفاهيم الحوكمة المؤسسية باستخدام مجموعة 
تنفيذية في وسط الشكلء كما يوضح الشكل بعض التداخل أو التشارك الموجود بين هذه 
المفاهيم والمسؤوليات المرتبطة بها من أجل تأسيس كل من الضوابط والإطار الإستراتيجي 
للأعمال وتحسين الأداء وفرض المساءلة أو المحاسبة. كما يعرض الشكل التوضيحي (7-8) 
أيضاً بعض المفاهيم الرئيسية التي تندرج تحت كل مجال من مجالات المسؤولية تلك. 
فمثلاً بالنسبة للإطار الإستراتيجي للأعمالء يوجد بها عدة عناصر أو مفاهيم مهمة كأنشطة 
التخطيط والأعمال المؤسسية وإدارة المخاطر واستمرارية الأعمال وتقنية المعلومات 
والشبكات والتدقيق الداخلي. 

تم تضمين الحوكمة. وهي جزء رئيسي في نموذج مبادئ 620 في العديد من الفصول 
اللاحقة والتي تتحدث عن قضايا معينة في حوكمة تقنية المعلومات» ونخص بالذكر هنا 
كلاً من الفصل الثامن الذي يتحدث عن إدارة المخاطرء والفصل الثامن عشر الذي تناول 
الحديث عن حوكمة تقنية المعلومات. ويركز الفصل الثامن عشر أيضاً على مسائل متعلقة 
بتقنية المعلومات وإستراتيجيات الأعمال وعمليات الحوكمة. 
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شكل توضيحي (7-8) 


عناصر حوكمة ©12© 





عنصر إدارة المخاطر في نموذج 6110: 

إن الهدف الرئيسي لهذا الكتاب هو تقديم مفاهيم حوكمة تقنية المعلومات إلى مسئولي 
الأعمال التنفيذيين. فمن الضروري أن يكون هناك مجموعة قوية من مكونات ومبادئ 
الحوكمة وإدارة المخاطر والامتثال G۸٣‏ على مستوى المؤسسة بكاملهاء ويعد البرنامج 
الفعال لإدارة المخاطر أحد العناصر الرئيسية لمبادئ G۸٣‏ في المؤسسة. وسيتم الحديث 
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بمزيد من التفصيل عن أساسيات إدارة المخاطر وأمن تقنية المعلومات في كل من الفصل 

الثامن والعاشر من هذا الكتاب» حيث يجب أن تصبح إدارة المخاطر جزءاً من الثقافة 

الغامة للمؤمسة :انقداءمن :مجلس الإذارة. وكباقاللسؤولين ترؤلاً إل جم أتحاء اة 
هناك أربع خطوات مترابطة في العمليات الفعالة لإدارة المخاطر المؤسسية وفقاً لنموذج 

0 كما هو واضح في الشكل التوضيحي (۳-۳) وهي: 

-١‏ تقييم المخاطر والتخطيط لها: قد تتعرض المؤسسات إلى مستويات متعددة من 
المخاطرء سواء كانت قضايا عالمية تتراوح بين أزمات الاقتصاد المحلي أم أزمات العملةء 
إلى عوامل المنافسة في سوق المنتجات وحدوث اضطرابات في العمليات التشغيلية 
المحلية نتيجة سوء الأحوال الجوية. وهنا لا يمكننا تعريف كل نوع من أنواع المخاطر 
التي قد تؤثر في المؤسسة والتخطيط لهاء إلا أنه ينبغي أن يكون هناك تحليل مستمر 
لمختلف المخاطر المحتملة التي قد تواجه المؤسسة. 

۲- تحديد وتحليل المخاطر: بدلاً من التخطيظ فقط لاحتمالية وقوع بعض المخاطرء 
هناك حاجة ماسة إلى المزيد من التحاليل التفصيلية التي تمكننا من معرفة احتمالية 
وقوع هذه المخاطر القادمة ومعرفة مدى تأثيراتها المحتملة أيضاً. كما أن هناك حاجة 
أيضا لقياس الأثار ارقن ةغلل كلك اللتخاظر اذد وولف لتحدين ا تاجات 
للعمل على التخفيف من آثارها في حال وقوع أحداث تلك المخاطر. يشير التخفيف 
هنا إل تقد افضل: وم لإذارة المحاطرة أو اسعيساذهاء: كماايهب أيضا خد 
العوامل النهائية المرتبطة بتلك المخاطر. وستصبح المخاطر المحددة أكثر أهمية إذا 
استطعنا تحديد التكاليف الإجمالية التي ستتحملها الشركة إذا وقعت تلك المخاطر 
امحددة. 

؟- توظيف وتطوير إستراتيجيات الاستجابة للمخاطر: يجب أن تضع المؤسسة خططاً 
وإستراتيجيات واضحة لاستعادة العمليات التشغيلية الطبيعية الخاصة بها والتعافي 
من أحداث المخاطر التي هكن أن تحدث» ويجب أن يتم ذلك بشكل أساسي 
بالتوازي مع تحديد تلك المخاطر. وقد يشتمل ذلك على تحليل الفرص المتعلقة 
بالعاظدر قد ل ااال ذا كان الدينا اعد اللحاطر الحددة فا فض 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات ۸۹ 


الفصل الثالث 


-€ 


معدات إنتاج قدهة في أحد المصانع والتي رها تتوقف عن الإنتاج» فقد تكون 
هذه فرصة للتخلي عن خط الإنتاج هذا وتركيب معدات جديدة تستخدم تقنيات 
حديثة» أو حتى من الممكن أن تكون فرصة لنقل المصنع إلى موقع أحدث أو موقع 
بديل للموقع الحالي. 

متابعة المخاطر: يجب أن تكون هناك أدوات وتجهيزات معمول بها لرصد جميع 
المخاطر المحددة والجديدة أيضاً والتي من الممكن حدوثهاء مثل وضع جهاز إنذار 
حريق للكشف عن الدخان. وبالرغم من أن معظم عمليات مراقبة المخاطر تحتاج 
إلى سلسلة ممتدة من التقارير الخاصة» وإلى معايير معمول بها وقابلة للقياس» 
وإلى إدارة موارد بشرية يقظه. فإن الفكرة هنا هي أن تكون سباقاً أو متقدماً 
بخطوة وتعاود الدخول في تلك الخطوات السابق ذكرها لإدارة المخاطر إذا اقتضى 
الأمر ذلك. 


يجن آنا تفل إذازة للخاطو عاق اة اة وان کون جرا ما الات 


التنظيمية. كما يجب أن تكون جزء من عمليات صنع القرار وأن تكون مصممة بأسلوب 
منهجي ومنظم لمعالجة الشكوك أو الأحداث المبهمة التي يمكن أن تواجه المؤسسة» وذلك 
بالاعتماد على أفضل المعلومات المتاحة. هذا بالإضافة إلى أنه يجب أيضا أن تكون تلك 
العمليات الخاصة بإدارة المخاطر مرنة وتكرارية ومستجيبة للتغيرات من خلال القدرات 
الخاصة بالتطويرات والتحسينات المستمرة. 
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شكل توضيحى (7-؟) 


نظرة عامة على إدارة المخاطر 











٠‏ مراقية التغيرات ٠‏ خلد عوامل المخاطر 
٠‏ عوامل المخاطر ٠‏ حلد أولويات عوامل المخاطر 
٠‏ البيلة والمنظمة ٠‏ سجل الفرص الفائمة على المخاطر 
٠‏ إعادة تقبيم الخطوات السابقة 

٠‏ تحليل الفرص 

٠‏ وضع خطط إارة المخاطر 

٠‏ تنفيذ الاستراتبجياث 


نموذج 6180 وامتثال المؤسسة: 

الامتثال هو عملية الالتزام أو التقيد بالإرشادات أو بالقواعد الموضوعة من قبل الهيئات 
الحكومية» أو المجموعات المختلفة لوضع المعايي أو السياسات الداخلية للشركة. ويعد 
الالتزام أو التقيد بمتطلبات الامتثال أحد التحديات بالنسبة للمؤسسة وأصحاب المصالح 
لديهاء وذلك للأسباب التالية: 


- طرح لوائح تنظيمية جديدة بصورة متكررة: بالنظر إلى الولايات المتحدة الأمريكية 
هناك العديد من الوكالات» كوكالة حماية البيئة مث والتي تقوم وبشكل منتظم بإصدار 
قواعد جديدة يمكن أن تؤثر بشكل كبير في العديد من اللمؤّسسات رغم اختلاف أغراضها 
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الأساسية. فالتحدي بالنسبة للشركات هنا هو متابعة تلك القواعد الجديدة لمعرفة أي 
من هذه القواعد يمكن أن ينطبق عليها. 

- وجود قوانين غامضة وبحاجة إلى تفسير: وبالنظر مرة أخرى إلى الولايات المتحدة الأمريكية 
على سبيل المثال» فقد أقر الكونجرس الأمريكي مشروع قانون إصلاح الرعاية الصحية في 
عام ٠٠٠١‏ والمعروف باسم أوباما كير (©0381ة0): والذي تمت صياغته من قبل هيئة 
من أعضاء الكونجرس وطباعته في عدة آلاف من الصفحات التي تغطي قضايا وقواعد لم 
تتم قراءتها قط حتى من قبل المشرعين لهذا القانونء ناهيك عن إمكانية فهمها. حتى 
هذه الأيام ولسنوات قادمة سنظل ننظر إلى هذه القواعد ونحاول تفسير المعاني الحقيقية 
المقصودة منها. ويمكننا ضا الحديث عن قانون دود فرانك علصه:12000-7 للإصلاح المالي 
سنة ۲١٠١‏ كمثال آخر مشابه للمثال السابق. فهو عبارة عن قانون معقد جداً لتنظيم 
المجال الماليء ويحتوي هذا القانون على العديد من القواعد الإدارية التي لم تكن قد نشرت 
بعد حتى وقت إعداد هذا الكتاب. وقد يكون امتثال المؤسسة لتلك القواعد أمراً في غاية 
الصعوبة. 

- لا يوجد إجماع على أفضل الممارسات في الامتثال: إن القواعد مليئة باللوائح القانونية 
التي تنص على أمور مثل: "جميع المعاملات التي تتم لابد أن تكون مدعومة بالإيصالات". 
فهل يشترط هذا القانون استخدام إيصالات في المعاملات التي تقل قيمتها عن 5١‏ أو عن 
0 أو عن أي قيمة أخرى؟ فلا يوجد هناك أي إرشادات خاصة لتلك القاعدة ويستطيع 
كل شخص أن يفسرها كما يحلو له. 

- كثرة تداخل اللوائح التنظيمية مع بعضها البعض: فغالباً ما تقوم الولايات المتحدة 
الأمريكية والحكومات المحلية الموجودة في مختلف الولايات بإصدار قوانين تغطي 
المجالات نفسهاء إلا أن لها متطلبات مختلفة. ويتم البت في هذه الاختلافات عادة في 
النهاية داخل ساحات المحاكم. وتبقي قضية الامتثال أحد التحديات إلى أن يتم الفصل 
في هذه الأمور. 


- تغير اللوائح التنظيمية بصفة مستمرة: فغالباً ما تقوم الهيئات التنظيمية وبشكل مستمر 
ودوري بتغيير قوانينها أو التفسيرات المتعلقة بقوانينهاء الأمر الذي يجعل الامتثال تحديا كبيراً. 
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لا بد من النظر إلى قضية امتثال المؤسسة على أنها عملية مستمرة وليست مشروعاً 
ينفذ لمرة واحدة فقط. فضلاً عن أن متطلبات الامتثال مستمرة في صدارة جداول الأعمال 
الخاصة بالمؤسسات. نظراً لأنه يجري محاسبة المؤسسات على وفائها بالتفويضات الكثيرة 
المتعلقة بأسواقها الخاصة أو مجالات عملياتها التشغيلية. 
هذا بالإضافة إلى أن المؤسسات قد تكون مطالبة أيضاً بمعالجة التشريعات التي تتم عبر 
الأنشطة الصناعيةء كمعيار أمن بيانات بطاقات الدفع Payment Card Industry Daa‏ 
Security Standard (PCI DSS)‏ وغيرها من القواعد التي سنتحدث عنها في الفصل 
الحادي عشر من هذا الكتاب» بالإضافة إلى القضايا الأخرى الخاصة بحوكمة وإدارة تقنية 
المعلومات التي تم طرحها في الفصل الخامس عشر من هذا الكتاب. ببساطة يمكن القول 
بأن اتساع دائرة وتعقيد القوانين واللوائح المتعلقة بالامتثال قد تتسبب في وجود تحديات 
للعديد من المؤسسات على مر السنين. تحتاج المؤسسات إلى الإقبال على مبادئ الامتثال 
الخاصة بنموذج 610 من منظور أكثر إستراتيجية» الأمر الذي قد يساعدها على الانتقال 
إلى ما هو أبعد من مجرد الوفاء والالتزام بالقوانين والمعايير والمبادئ المفروضة بل إلى 
تحقيق فوائد تجارية ملموسة وحقيقية من مجمل استثماراتها في البنية التحتية. 
يتخلل نطاق الامتثال العديد من الأنشطة وعمليات التشغيل داخل المؤسسة. ويوضح 
الشكل التوضيحي (-6) بعض المسائل التي يجب على المؤسسة أن تأخذها بعين الاعتبار 
عند قيامها بتحديد النطاق والنهج الذي ستستخدمه من أجل تحقيق مبادئ الامتثال 
الخاصة بنموذج 6 لذا يجن غلل نة لا تيمل آنا من هذه القؤاعت وان :تكون 
دائماً على علم بوجودها. غير أن اتباع نهج منتظم ومتناغم لاستخدام الإمكانيات والتقنيات 
الداعمة التي تقودها مبادئ الامتثال في جميع أنحاء المؤسسة هكن أن يسهم في منح 
ا مؤسسة العديد من الفوائد المحتملة التالية: 
- المرونة: تعد الأنظمة التشريعية الجديدة الصادرة عن الهينات المصرح لها بإصدارهاء 
والتغيير المستمر للقوانين الحالية. واحدة من الصعوبات المتعلقة بعملية الامتثال. فمن 
خلال إدارة مبادرات الامتثال بشكل مركزي عبر بنية الامتثال على مستوى المؤسسة: يمكن 
للمؤسسة أن تتكيف وبسرعة أكبر مع هذه التغييرات. 
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- انخفاض التكلفة الإجمالية لحيازة الامتثال: قد يكون هناك تأثير إيجابي في الاستثمارات 
جراء العديد من الأنظمة التشريعية. فعلى سبيل ال مثالء الاستثمار في نظام إدارة قواعد 
البيانات والسجلات كان نتيجة مطالبة العديد من اللوائح التنظيمية التشريعية للقيام 
بالاحتفاظ بالوثائق والسجلات الرسمية. الأمر الذي قد يقابل باستثمار فردي في إحدى 
الوسائل الخاصة بقاعدة بيانات المحتوى ونظام إدارة السجلات. 
- الميزة التنافسية: قد تسمح بنية الامتثال الواسعة والمتناغمة للمؤسسة بأن تكون أكثر 
إدراكاً وتحكماً بعملياتهاء الأمر الذي قد يمكنها من سرعة ودقة الاستجابة والتكيف مع 
ضغوطات الامتثال الداخلية أو الخارجية. هذا بالإضافة إلى احتمالية أن تحتوي بعض 
الأنظمة التشريعية على العديد من الفوائد التجارية الهامة والملموسة: وذلك من خلال 
متطلبات كتخفيض الحد الأدنى من رأس امال والتي يمكن تفعيلها من خلال بنية الامتثال 
على مستوى المؤسسة بأكملها. 
تساعد العمليات الفعالة للامتثال الخاصة بنموذج 680 المؤسسة أن تقوم بتغيير 
عمليات تشغيل الأعمال لديها والحصول على تبصر وإمكانية توقع أعمق من خلال 
المعلومات التي تخص الأعمال عندما تقوم بمعالجة المتطلبات المدفوعة تنظيمياً. ولعل 
أهم العوامل المحركة للأعمال هنا هي القدرة على تحسين إدارة أصول المعلومات وإثبات 
الامتثال للالتزامات التنظيمية والقانونية والحد من مخاطر الدعاوى القضائية ومن تكاليف 
التخزين والاكتشاف وإثبات مساءلة الشركات. 
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اعتبارات المؤسسة الخاصة بنطاق أنشطة الامتثال الخاصة بها 


* يجب أن تحدد المؤسسة اللوائح التنظيمية الأكثر ارتباطاً بأعمالها 
أثناء تطوير خطتها الإستراتيجية. 


» استدامة الامتثال يجب أن يكون جزءا أساسياً ومتمماً في أي خطة 
إستراتيجية للامتثال. 


٠‏ يجب وضع الهيكل التنظيمي لتلبية متطلبات (او مقاصد) 
محددة لكل تشريع من التشريعات (فعلى سبيل ال مثالء يوصي 
قانون :50 بألا يكون رئيس مجلس الإدارة هو نفسه الرئيس 
التنفيذي) 


٠‏ يجب توثيق وممارسة العمليات الرئيسية للامتثال. 


٠‏ يجب أن تتم عمليات التدقيق والمراجعة للتأكد من أن العمليات 
الموثقة يتم استخدامها بشكل فعال لمعالجة متطلبات الامتثال. 


٠‏ التطبيقات يجب أن تُصمم وتُنفذ وفحص بشكل دوري لضمان 


دعمها لمتطلبات كل قانون تشريعي. 
التطبيقات والبيانات 


٠‏ يحب حماية البيانات ومعالجتها بشكل صحيح طبقاً لكل قانون 


٠‏ يجب أن تكون جميع التسهيلات مصممة ومتاحة لتلبية 
احتياجات كل قانون تشريعي (فعلى سبيل المشال» قد تتطلب 
يعض القدانن ال رة دان مون اجات متاعة :يكل سهذلة 
وسرعة خارج الموقع). 


التسهيلات (المرافق) 
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أهمية ممارسات ومبادئ نموذج ۸٣‏ الفعالة: 

تحتاج المؤسسة إلى الاعتماد على ممارسات وإجراءات قوية لكل من عمليات الحوكمة 
وإدارة المخاطر والامتثال بهدف إيجاد برنامج فعال لنموذج 680. فعلى الرغم من أن 
معظم الفصول اللاحقة تركز على عمليات حوكمة تقنية المعلومات» إلا أننا يجب ألا ننسى 
أبندا الأهمية الكبرى للعمليات القوية لكل من الحوكمة وإدارة المخاطر والامتثال والتي 
تقوم بدعم كل من حوكمة تقنية المعلومات وغيرها من عمليات التشغيل في المؤسسة. 
سيتم ذكر مبادئ وممارسات نموذج الحوكمة وإدارة المخاطر والامتثال 6۸٣‏ في جميع 
الفصول القادمة التي تركز أكثر على قضايا محددة في المخاطر والحوكمة. 

ومثالاً على ذلك. سيناقش الفصل الخامس عشر من هذا الكتاب أهمية تطبيق نظم 
متكاملة لحوكمة وإدارة تقنية المعلومات. فهو يناقش الأدوار والمسؤوليات المطلوبة 
لكل من الأشخاص والإدارات للوصول إلى حوكمة فعالة. كما يحدد أساليب التواصل مع 
المستويات المختلفة لقواعد الحوكمة. وكذلك الأمر بالنسبة للفصل التاسع عشر من هذا 
الكتاب» الذي ينظر إلى دور التدقيق الداخلي في حوكمة تقنية المعلومات المؤسسية. حيث 
يوضح هذا الفصل النهج المتبع في تقييم المخاطر والتخطيط لها من قبل إدارة التدقيق 
الداخلي لكي تقوم بتحديد قضايا الامتثال الأكثر أهمية بالنسبة لهاء ولكي تقوم أيضاً بإيصال 
تلك القواعد والمبادئ الخاصة بالامتثال للجميع» ولكي تقوم بعد ذلك بمراقبة الأداء الحقيقي 
لعملية الامتثال في المؤسسة. فهذا الفصل يناقش كيف يكن للقانون والتدقيق الداخلي أن 
يساعدوا المؤسسة على تحقيق الامتثال. 

على الرغم من أن البرامج القوية لحوكمة تقنية المعلومات تعد من الأمور الهامة 

للغاية: فإنها يجب أن تكون أيضا مدعومة من قبل برامج الحوكمة وإدارة المخاطر وكذلك 
الامتثال الكلي لنموذج 6120. كما يجب على المؤسسة أن تركز على العديد من أنشطتها 
على مبادئ برنامج 6۸٣‏ بشكل قوي. قدم هذا الفصل بعض المفاهيم المؤسسية العالية 
المستوى الهامة لبرنامج .6۸٣‏ فهذه المفاهيم يجب أن تكون من المكونات الأساسية 
لعمليات حوكمة تقنية المعلومات. 
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الجزء الثاني 1 
أطر عمل لدعم حوكمة فعالة لتقنية المعلومات 


۹۸ 


الفصل الرابع 
حوكمة تقنية المعلومات ونظم الرقابة الداخلية طبقاً للجنة 
المنظمات الراعية (كوسو- 0050) 


إن الحاجة إلى نظم رقابة داخلية قوية وفعالة تعد عنصراً أساسياً في حوكمة تقنية 
المعلومات لأي مؤسسة. فقد ظهرت الحاجة إلى إنشاء رقابة داخلية وتقييمها منذ الأيام 
الأولى لظهور نظم التدقيق. بل كانت أيضاً قضية مهمة تعود إلى الأيام الأولى لنشأة نظم 
تدقيق تقنية المعلومات. وفي حين ظهرت تعريفات عديدة لنظم الرقابة الداخلية في 
السنوات الماضية فإن هناك تعريفاً عاماً جيداً يتناسب مع حوكمة تقنية المعلومات مفاده 
أن الرقابة الداخلية عبارة عن "عملية تتأثر مجلس إدارة كيان ما وإدارته وغيرهم من 
الأفراد في ذلك الكيانء ويكون الهدف من تصميمها الحصول على تأكيد معقول حول تحقيق 
الأهداف المنتكلرة من فاغلية العمليات وكفاءتها وموثؤقية'وضع التقازيواكالية للمؤسسة 
ونظم وعمليات تقنية المعلومات داخل المؤسسة: كل ذلك مع الالتزام بالقوانين واللوائح' 
ويتشابه هذا التعريف مع التعريف المعروف الموضوع من قبل اللجنة الأمريكية للمنظمات 
الراعية (0050). وهي هيئة مهمة تقدم توجيهات تتعلق بنظم الرقابة الداخلية التي 
سنناقشها لاحقاً في هذا الفصل. 

يتحمل مديرو المؤسسة مسئولية تنفيذ عمليات الرقابة الداخلية وإدارتها؛ في حين يعمل 
مدققوهم أطرافاً مستقلة تقوم بمراجعة اختبارات نظم الرقابة الداخلية وإجرائها بالإضافة 
إلى رفع تقارير إلى الإدارة والأطراف الأخرى حال بلوغهم حد الكفاية. ويضم مدققو الرقابة 
الداخلية كلاً من المدققين الداخليين والخارجيين» حيث يتبنى المدققون:الخارجيون في 
الولايات اة مهارن العدقيق الخاضة با يكي للمحاسبين القانونين (41©728). 


وعموماً يشترك المدققون الداخليون في اتباع إرشادات معهد المدققين الداخليين (114)» 
وهي منظمتهم المهنية الدولية التي سيتم التطرق إليها في الفصل التاسع عشر من هذا 
الكتاب. 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات ۹۹ 


الفصل الرابع 


لكل من منظمتي التدقيق هاتين إِرثٌ يعود إلى أيام استخدام الورقة والقلم الرصاص 
في التدقيق وحتى قبل ما نشهده اليوم من الاستخدام السائد والاعتماد على عمليات 
تقنية المعلومات ونُظمها. كما قامت جمعية تدقيق ومراقبة نظم ا معلومات (154©024) 
والمتخصصون لديها في مجال تدقيق تقنية المعلومات بتلبية جزء كبير من الحاجة إلى وجود 
نظم رقابية داخلية فعالة. 

يضطلع مدققو تقنية ا معلومات بأدوار التدقيق الداخلي والخارجيء على الرغم من أن 
غالبية المهنيين هنا يعملون مدققين داخليين لمؤسساتهم. 

ومتابعة منا للمناقشة التي أجريناها في الفصل الثاني عن حوكمة تقنية المعلومات 
وقوانين ساربينز-أوكسلي (×80)» فإننا نقدم في هذا الفصل ما يعرف بإطار الرقابة الداخلية 
الخاص بلجنة المنظمات الراعية (©0050) كما يلخص عمليات حوكمة تقنية المعلومات 
ا مرتبطة بهذه اللجنة (2050) في مؤسسات أعمال عصرنا الحاضر. إن كلا من نظم الرقابة 
الداخلية الخاصة بلجنة المنظمات الراعية (0050) وقوانين ساربينز-أوكسلي («50) التي 
ناقشناها في الفصل الثاني بدأت مجرد قوانين توجيهية لنظم الرقابة الداخلية المعمول بها في 
الولايات المتحدة, غير أنها قد لاقت قبولاً الآن في جميع أنحاء العالم. فقد كان كل منهما في 
الأساس عبارة عن توجيهات عامة لمراجعة الشئون المالية وعمليات التشغيل وتقبل التطبيق 
تماماً في بيئات حوكمة تقنية المعلومات. 

إن فهم إطار الرقابة الداخلية الخاص بلجنة المنظمات الراعية (0050) واستخدامه 
يعد أمراً هاماً لوضع عمليات فعالة لحوكمة تقنية المعلومات. ورغم أن هذه القواعد 
والإجراءات ترجع أصولها إلى إعداد التقارير المالية وتدقيقهاء فإنه في عالم اليوم الذي يرتكز 
على تقنية المعلومات تجد أن نظم أو ضوابط الرقابة الداخلية الخاصة بلجنة المنظمات 
الراعية (©005) تعتبر أدوات هامة في حوكمة تقنية المعلومات. وتلك هي القواعد التي 
تتبناها المؤسسات للتأكيد أو التصديق للجهات الرقابية بأن منظماتهم تتبع نكما وقانية 
ذاغلية:قعالة وأنها تعمل :وفقا لهد القواعن الجدديدة: 
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حوكمة تقنية المعلومات ونظم الرقابة الداخلية طبقاً للجنة المنظمات الراعية (كوسو- 6050©) 


أهمية أنظمة الرقابة الداخلية الفعالة ولجنة المنظمات الراعية (0050): 

تعد نظم الرقابة الداخلية أحد المفاهيم الأساسية وأكثرها أهمية ويجب على كبار 
المديرين والمهنيين على جميع المستويات أن يفهموهاء حيث يقوم ا مهني بوضع نظم الرقابة 
الداخلية واستخدامها في حين يقوم المدققون بمراجعة النظم والعمليات التشغيلية والتقنية 
والمالية واختبارها بهدف تقييم ما لديها من نظم رقابة داخلية. ومع أن كلاً من المدققين 
الداخليين والخارجيين لديهم أهداف متباينة فإن معظم مرجعياتنا في هذا الفصل تنطبق 
على كبار المديرين الذين تقع على عاتقهم مسئولية رئيسية لفهم قضايا حوكمة تقنية 
المعلومات وتقييم نظم الرقابة الداخلية ذات الصلة بتقنية المعلومات. 

وعلى الرغم من وجود تعريفات كثيرة مختلفة نسبياً لنظم الرقابة الداخلية في الماضيء 
فإن إطار الرقابة الداخلية الخاص بلجنة المنظمات الراعية (0050) الذي سنناقشه في 
الأجزاء التالية يقدم تعريفاً مناسباً لكبار المديرين, فهذا التعريف يقر بأن الرقابة الداخلية 
لا تقتصر فقط على الأمور المالية والمحاسبية بل تتعدى هذا الحد لتشمل جميع عمليات 
المؤسسة. ولأن تقنية المعلومات تمثل أيضاً جزءاً لا يتجزأ من جميع عمليات الأعمالء فإن 
نظم الرقابة الداخلية ذات الصلة بتقنية المعلومات تعد جزءاً رئيسياً من فهمنا الشامل 
لنظم الرقابة الداخلية. ويمكن الحكم بأن اة في صورة وحدة أو عمليةء يكون لها 
نظم رقابة داخلية جيدة إذا كانت )١(‏ تحقق مهمتها المعلنة بطريقة أخلاقيةء ( (۲) تعطي 
بيانات دقيقة وموثوقاً بهاء (؟) تتوافق مع القوانين المعمول بها ومع سياسات المؤسسة. 
(©) :قوفن اينتخامات: فحالة واقتصادية لموارذها: وآخيرا (6) توق همان مَياسية للأضول: 
يتحمل جميع أعضاء المؤسسة المسئولية عن نظم الرقابة الداخلية في مجال عملياتهم 
التشغيلية وكذا عن تشغيلها على نحو فعال. 

وعلى الرغم من - أو بسبب - هذا التعريف الفضفاض لنظم الرقابة الداخلية فإننا نجد 
ق كثيراً من المهنيين كانت لديهم مشاكل في فهم مفاهيم الرقابة الداخلية وتطبيقها ا 
وبالنظر إلى تعريفنا هذا بصورة مختلفة بعض الشيء نجد أن مفهوم الرقابة الداخلية ودعم 
عمليات الرقابة تعود إلى الإجراءات الآلية والأعمال الورقية الأساسية التي كانت تتم بشكل 
متكرر في جميع العمليات التجارية اليومية. وتعد أعمال الرقابة ضروزية للأنشطة داخل 
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الفصل الرابع 


وخارج مؤسسات اليوم» وأن العديد من المفاهيم والمبادئ الأساسية تكون متماثلة بغض 
النظر عن مكان تطبيق الرقابة. وتقدم السيارة بعض أمثلة على الرقابة الأساسيةء فعند 
الضغط على المُسرّع - ضابط السرعة - فإن السيارة تسير بشكل أسرع وعند الضغط على 
المكابح - وهو ضابط آخر للسرعة - فإن السيارة تسير ببطء أو تتوقف» وعندما ثدار عجلة 
القيادة فإن السيارة تقوم بالدورانء وبذلك يتحكم السائق في السيارة ويمثل كل من هذه 
الأجزاء الثلاثة النظام الأساسي للرقابة الداخلية بالسيارة. وإذا لم يقم السائق باستخدام 
المسرع أو المكابح أو عجلة القيادة أو إذا استخدمها بشكل غير ملائم فإن السيارة ستعمل 
خارج نطاق السيطرة. 

وبتوسيع هذا المفهوم قليلاً فإننا نجد أن إشارات التوقف وإشارات توجيه المرور 
وحواجز عبور البوابات تمثل جميعها نظم الرقابة الخارجية للسيارة وسائقهاء وفي حين أن 
قائد السيارة هو المشغل لعملية - أو نظام - الرقابة الداخلية بالسيارة» إلا أن سلطة اتخاذ 
القرار لديه تكون ضعيفة عند التعامل مع الرسالة الموجهة إليه من إشارة ضوئية تمثل 
الرقابة الخارجية. 

ومن منظور الرقابة الداخلية يمكن مقارنة المؤسسة بمثال السيارة الذي ذكرناه. كما 
سنجد عديداً من نظم وعمليات المؤسسة المفعلة مثل عمليات المحاسبة وعمليات البيع 
ونظم تقنية المعلومات؛ وإذا لم تقم الإدارة بتشغيل أو توجيه هذه العمليات بشكل صحيح» 
فإن المؤسسة رها تعمل خارج نطاق السيطرة. ويتعين على جميع أعضاء المؤسسة بلورة 
فهم ما لنظم الرقابة المناسبة وتقرر من خلاله ما إذا كانت هذه النظم مرتبطة بشكل 
صحيح بإدارة المؤسسة. ويشار إلى هذه النظم بمسمى أنظمة الرقابة الداخلية للمؤسسة. 
معلومات أساسية عن معايير الرقابة الداخلية: 

على الرغم من أن مفهوم الضوابط الداخلية وتعريفها أصبح من السهل اليوم فهمها 
بشكل جيد فإن هذا الأمر م يكن صحيحاً حتى أواخر ثمانينيات القرن العشرين. وعلى 
الرغم من أننا كنا ندرك غالباً المفهوم العام فإنه لم يتوافر اتفاقٌ ثابتٌ بين العديد من 
المهنيين المهتمين بالأعمال وا محاسبة فيما يتعلق بالمقصود من "نظم الرقابة الداخلية 
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حوكمة تقنية ا معلومات ونظم الرقابة الداخلية طبقاً للجنة المنظمات الراعية (كوسو- 6050©) 


الجيدة". وتتمثل أمامنا نقطة انطلاق جيدة لذلك من خلال التعريفات الأولى التي 
صدرت في البداية من المعهد الأمريكي للمحاسبين القانونيين (41074) واستخدمتها 
ية الأوراق اة والبووضة الأمريكية ©8 نفا لقاكون يورضة :الأؤراق اة 
الخاص بلوائح عام 1916. ومع حدوث تغيرات بمرور السنينء فإن معايير معهد المحاسبين 
القانونيين الأمريكيين (410284) التي تم تدوينها في البداية وكانت تسمى بيان معايير 
التدقيق رقم ×٥.1( ١‏ 848)' حددت ممارسة التدقيق الخارجي للبيانات المالية في 
الولايات المتحدة لسنوات عديدة. وقد تعرض هذا التعريف الذي وضعه المعهد الأمريكي 
للمحاسبين القانونيين (410584) للرقابة الداخلية بالطبع لتغييرات وتنقيحات على مر 
السنين. وخلال :هذه الفترة وتحديدا خلال سبعينيات القرن العشرين ظهرت تعريفات 
عديدة للرقابة الداخلية صدرت عن هيئة الأوراق المالية والبورصة الأمريكية (©58) 
وا معهد الأمريي للمحاسبين القانونين (81024) إلى جانب العديد من التفسيرات 
والإرشادات التي وضعتها وطورتها بعد ذلك كبرى شركات التدقيق الخارجي. 

لقد تغيرت الأوضاع في الفترة الأخيرة من سبعينيات وأوائل ثمانينيات القرن العشرين» 
تلك الفترة التي شهدت العديد من الإخفاقات في المؤسسات الأمريكية الكبرى نظراً لعدة 
عوامل منها ارتفاع معدلات التضخم وارتفاع أسعار الفائدة المصاحبة لذلك. وفي عديد من 
الوقائع أشارت الشركات إلى وجود أرباح مناسبة في تقاريرها المالية المدققة, في حين أنها 
وبعد فترة وجيزة من نشر تلك التقارير المالية المدققة الإيجابية تتعرض لانهيار مالي. م 
تتسبب التقارير المالية الاحتيالية إلا في حدوث القليل من تلك الإخفاقات» في حين حدث 
أغلبُها بسبب ارتفاع معدلات التضخم أو قضايا أخرى كانعدام الاستقرار في المؤسسات. 
وعلى الرغم من ذلكء فقد اقترح العديد من أعضاء الكونجرس الأمريكي سن تشريع ل 
"تصحيح" الإخفاقات المحتملة في الأعمال وعمليات التدقيق» وقد تم صياغة القوانين 
وعقدت جلسات الاستماع في الكونجرس لكنها لم تسفر عن تمرير أي تشريع. وللقضاء على 
هذه المخاوف ونظرا لعدم وجود إجراء تشريعيء فقد تم تشكيل اللجنة الوطنية المعنية 
بدراسة وضع التقارير المالية الاحتيالية. وقد ضمت هذه اللجنة خمس منظمات مهنية 
هي: 114 و41024 وقد سبق ذكرهما؛ ومعهد المديرين التنفيذيين الماليين الدوليين (۴۴1) 
وهي جمعية من كبار المديرين الاليين؛ وجمعية المحاسبين الأمريكين (4۸44)؛ ومعهد 
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الفصل الرابع 


اللخاسبين الإدازيين (3/14): وتعد جمعية الأخاسبين الأمريكين (ككرة) منظمة مهنية 
تضم المحاسبين الأكاديميينء في حين هثل معهد المحاسبين الإداريين (823/11) المنظمة المهنية 
للمحاسبين الإداريين أو محاسبي التكاليف. 

وقد سُميت اللجنة الوطنية المعنية بوضع التقارير الاحتيالية ب"لجنة تريدواي" نسبة إلى 
رئيسهاء وقد اقتصرت أهداف هذه اللجنة على تحديد العوامل والأسباب التي سمحت بوجود 
تقارير مالية احتيالية وعلى إصدار توصيات من شأنها الحد من تكرار حدوثها. وقد صدر 
التقرير النهائي للجنة تريدواي في عام ۱۹۸۷م" وتضمن عدداً من التوصيات للعاملين في الإدارة 
ومجالس الإدارة وأقسام ا محاسبة القانونية العمومية وغيرهم. كما دعت أيضاً إلى إعداد 
تقارير إدارية عن فاعلية نظم الرقابة الداخلية لديها والتأكيد على العناصر الرئيسية التي 
يجب توافرها في نظام الرقابة الداخلية متضمناً ذلك توافر بيئة رقابة قوية وقواعد سلوكية 
ولجان تدقيق معنية ومختصة وإدارة تدقيق داخلي قوية. وقد أوضح تقرير لجنة تريدواي 
مرة أخرى عدم وجود تعريف ثابت للرقابة الداخلية ويشير بذلك إلى الحاجة إلى مزيد من 
العمل في المستقبل. وقد قامت لجنة المنظمات الراعية (0050) نفسها التي أدارت تقرير 
تريدواي بالتعاقد في وقت لاحق مع مختصين من الخارج وأطلقت مشروعاً لتعريف الرقابة 
الداخلية وعلى الرغم من عدم إصدار اللجنة لأية معايير. فإنها أصدرت إطاراً للرقابة الداخلية 
خاصاً بها ستتم مناقشته في الأجزاء التالية ويشار إليه عبر فصول هذا الكتاب. 


إطار الرقابة الداخلية الذي أصدرته لجنة المنظمات الراعية (0050): 

كما ذكرنا من قبل» يشير مصطلح لجنة المنظمات الراعية (©0050) إلى المنظمات المهنية 
الخمس العاملة في مجال التدقيق والمحاسبة: تلك المنظمات التي شكلت لجنة لوضع تقرير 
الرقابة الداخلية المشار إليه؛ ويحمل مسماه الرسمي "الإطار المتكامل للرقابة الداخلية"". 
سنشي إلى هذا الإطار عبر هذا الكتاب بعبارة "تقرير أو إطار الرقابة الداخلية" 20050 
وهذا بخلاف إدارة المخاطر المؤسسية للجنة المنظمات الراعية (883/1 205©0) وإطار 
إدارة الموارد الوارد في الفصل الثامن من هذا الكتاب. ومنذ صدور تقرير الرقابة الداخلية 
للجنة المنظمات الراعية (0050) للمرة الأولى في سبتمبر 11917 اقترّح إطار مشترك لتعريف 
نظم الرقابة الداخلية فضلاً عن وضع إجراءات لتقييم هذه النظم الرقابية. وما إن مضت 
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حوكمة تقنية المعلومات ونظم الرقابة الداخلية طبقاً للجنة المنظمات الراعية (كوسو- 6050©) 


سنوات قليلة من صدروه عام ۲م حتى أصبح هذا الإطار هو الإرشادات المتعارف عليها 
في جميع أنحاء الام لفهم ووضع رقابة داخلية فعالة في كل أنظمة الأعمال 3 تقرينا: وتقدم 
الفقرات التالية وصفا لإطار الرقابة الداخلية للجنة المنظمات الراعية (0050) واستخدامه 
أداة لحوكمة تقنية المعلومات لإجراء تقديرات وتقييمات لنظم الرقابة الداخلية. 

يوجد لدى جميع الشركات العامة تقريبا هيكل إجراءات رقابية معقذة ووفقاً لشكل 
المخطط التنظيمي التقليديء قد يكون هناك مستويات إدارية عليا ووسطى في وحدات 
التشغيل المتعددة أو ضمن الأنشطة المختلفة. وإضافة إلى ذلكء قد تختلف الإجراءات 
الرقابية نوعا ما في كل من هذه المستويات والمكونات. فعلى سبيل ال مثال» هكن أن تعمل 
إحدى وحدات التشغيل في بيئة عمل منتظمة تكون فيها العمليات الرقابية مهيكلة تماما 
في حين قد تعمل وحدة أخرى في صورة مشروع ناشئ بهيكل رسمي أقل بكثير. ومن ثم 
فالمستويات المختلفة للإدارة في هذه المؤسسات سيكون لها رؤى مختلفة عن كيفية التعامل 
مع نظم الرقابة. وإذا ما تساءلنا هنا "كيف تصف نظام الرقابة الداخلية الخاص بك؟" فإننا 
سنتلقى إجابات مختلفة من أشخاص من مختلف المستويات أو من وحدات كل من هذه 
لكات الوس 

وتقدم لنا لجنة المنظمات الراعية (0050) وصفاً ممتازاً لهذا المفهوم متعدد الأبعاد 
لنظم الرقابة الداخلية. حيث وضعت تعريقاً للرقابة الداخلية كما يلي: 

الرقابة الداخلية هي عملية يقوم على تنفيذها مجلس إدارة كيان معين وإدارة وغير 
لك من الأفراد ويتم تصميمها لتعطي تأكيداً ER‏ فيما يتعلق اا الأهداف في 
النواحي التالية: 

« فاعلية وكفاءة عمليات التشغيل. 

٠.‏ مصداقية وضع التقارير اطالية. 

٠‏ الالتزام بالقوانين واللوائح المعمول بها©. 

وللاستفادة من هذا التعريف الأشمل للرقابة الداخلية تستخدم لجنة المنظمات الراعية 
(02050) نموذجا أو إطارا ثلائي الأبعاد لوصف نظام الرقابة الداخلية في المؤسسة. 


دليل امستول التنفيذي لحوكمة تقنية المعلومات 1.0 


الفصل الرابع 


ويبين الشكل التوضيحي )١-٤(‏ إطار الرقابة الداخلية الخاص بلجنة المنظمات الراعية 
(0050) على أنها نموذج ثلائي الأبعاد مستويات خمسة على الجانب المواجه من الشكل 
والمكونات الثلاثة الرئيسية للرقابة الداخلية - وهي فاعلية العمليات التشغيلية وكفاءتها 
وموثوقية التقارير المالية والالتزام بالقوانين واللوائح المعمول بها - تأخذ قطاعات متساوية 
إلى حد ما من النموذج في شكل شرائح عبر قمته» ويّبين الجانب الأهن من الشكل ثلاثة 
أقسام» ومع ذلك قد يوجد عديدٌ من هذه الأقسام تبعا لبنية المؤسسة. 

كما أن كل مستوى من مستويات الجهة الأمامية من إطار الرقابة الداخلية الخاص 
بلجنة المنظمات الراعية (050©). بدءاً من المتابعة في القمة ونزولا إلى بيئة نظم الرقابة 
الداخلية» سوف تتم مناقشته بمزيد من التفاصيل في الأقسام التالية. 


شكل توضيحي (1-6) 


إطار الرقابة الداخلية 050© 


متابعة الضوابط الداخلية 
1 
المعلومات والاتصال 


للضوابط الداخلية 


تقييم مخاطر الرقابة الداخلية 


بيئة الرقابة الداخلية 





1٦‏ دليل المسئول التنفيذي لحوكمة تقنية المعلومات 








حوكمة تقنية المعلومات ونظم الرقابة الداخلية طبقاً للجنة المنظمات الراعية (كوسو- 6050©) 


وتدور الفكرة هنا حول أنه عندما ننظر إلى طبقة أنشطة الرقابة الداخلية في وسط 
النموذج - مثل الإقفال المالي في نهاية السنة امالية - فإنه يتعين علينا أن نعتبر أن الرقابة 
فيما يتعلق بوحدة الأعمال أو المؤسسة أو الأقسام المتعددة على جانب الإطار تعمل حيث 
يتم تثبيت هذا الضابط الرقابي. ومع ذلك. ففي هذا النموذج ثلاثي الأبعاد نجد أن كل 
ضابط رقابي مرتبط بجميع الضوابط الأخرى في الصف نفسه أو الحزمة أو العمود. 

إن الهدف من إطار الرقابة الداخلية الخاص بلجنة المنظمات الراعية (0050) يتمثل 
في أنه ينبغي علينا دائماً أن ننظر إلى كل عنصر من عناصر الرقابة الداخلية الذي تم تعريفه 
طبقاً لمدى ارتباطه بعناصر الرقابة الأخرى المقترنة به في الإطار ثلائي الأبعاد. ففي مثالنا عن 
نظم الرقابة الداخلية الخاصة بالإقفال ا مالي في نهاية السنة المالية» يتعين على المؤسسة أن 
تحتفظ بروابط معلومات واتصالات متعلقة بعمليات الحساب الختامي» كما يجب متابعة 
النظام الرقابي. وبالنزول إلى المستوى التالي» نجد ضرورة وجود أنشطة لتقييم المخاطر 
مصاحبة لعملية الرقابة المالية التي يجب أن تعمل في بيئة رقابة داخلية مناسبةء كما قد 
يكون للقضايا المتعلقة بعمليات التشغيل والامتثال عوامل مؤثرة في النظام الرقابي المتبع 
الذي قد يعمل على أي مستوى من الهيكل التنظيمي للمؤسسة. 

وبينما تصف الأقسام التالية إطار الرقابة الداخلية للجنة المنظمات الراعية (050©) 
بمزيد من التفصيلء فإنه يجب على كبار المديرين في المؤسسة فهم إطار الرقابة الداخلية 
للجنة المنظمات الراعية (0050) فهماً دقيقاً وكذلك أثره في حوكمة تقنية المعلومات» 
وبغض النظر عن ا مجال قيد المراجعة يجب على كبار المديرين دانماً مراجعة نظم الرقابة 
الداخلية لديهم وتبنيها باعتبارها من هذا النوع متعدد المستويات وثلائي الأبعاد. وتقوم 
الأقسام التالية بوصف إطار الرقابة الداخلية للجنة المنظمات الراعية (0050) بمزيد من 
التفاصيلء وذلك ابتداء من أول مستوى للجهة الأمامية من الإطار أو من أسفله. 


بيئة الرقابة: 
يُقصد بالأساس أو المستوى السفلي من إطار الرقابة الداخلية للجنة المنظمات الراعية 
(2050) ما تطلق عليه لجنة المنظمات الراعية (0050) اسم بيئة الرقابة الداخلية. 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات 1۷ 


الفصل الرابع 


وينبغي اعتبار بيئة الرقابة الداخلية أساساً لجميع مكونات الرقابة الداخلية الأخرى» كما 
أن له تأثيراً في كل من الأهداف الثلاثة وأنشطة الوحدة والمؤسسة بكاملها. كما تعكس بيئة 
الرقابة الداخلية التصور العام والوعي والتصرفات والأفعال من قبل مجلس الإدارة والإدارة 
وغيرهم بشأن أهمية نظم الرقابة الداخلية في المؤسسة. وبينما يوجد العديد من المفاهيم 
الأساسية هناء فإن كل مؤسسة سيكون لديها أساس رقابة داخلية فريدٌ خاصٌ بها. 

ويقوم تاريخ المؤسسة وثقافتها غالباً بالدور الرئيسي في تكوين بيئة الرقابة الداخلية 
هذه. فعندما يكون للمؤسسة إذارةٌ قويةٌ على مدار تاريخها تشدد على تقديم منتجات 
خالية من العيوب وعندما تقوم الإدارة العليا بالترويج لأهمية وجود منتجات عالية الجودة 
إلى كل مستويات المنظمة, فإن ذلك يصبح عاملاً رئيسياً في بيئة الرقابة ا مؤسسية. كما أن 
الرسائل التي تأتي من الرئيس التنفيذي (080) أو من غيره من كبار مديري المؤسسة تعرف 
ب "النغمة السائدة"؛ رسائل الإدارة لجميع أصحاب المصلحة. أما إذا كانت سمعة الإدارة 
العليا أنها "تتغاضى" عن انتهاكات سياسة ا مؤسسة» فإن هذا النوع نفسه من الرسائل 
السلبية سوف يصل بالمثل إلى المستويات الأخرى في المؤسسة. إن النغمة الإيجابية السائدة 
لدى الإدارة العليا تعد عنصراً أساسياً لبيئة رقابة مؤسسية قوية. سواء لعمليات تقنية 
المعلومات أو لجميع الأنشطة الأخرى. 

ويجب على كبار المديرين أن يحاولوا دائماً إدارة بيئة الرقابة الشاملة في منظماتهم 
وفهمهاء وتصف الفقرات التالية المكونات الأساسية لبيئة الرقابة. 


النزاهة والقيم الأخلاقية: 

إذا قامت المؤسسة بوضع قواعد سلوكية قوية تشدد على النزاهة والقيم الأخلاقية, 
وإذا ظهر التزام أصحاب المصلحة بتلك القواعد. فسيكون لدى أصحاب المصلحة جميعهم 
ما يكفي من الضمانات التي تفيد احتفاظ المؤسسة بمجموعة جيدة من القيم. إن مدونة 
القواعد الأخلاقية أو السلوكية, كما نوقشت في الفصل العشرين من هذا الكتاب» تعد مكوناً 
هاما من :كنات الحوكمة وة و خو هة تة الكلومات. 


1۸ دليل امستول التنفيذي لحوكمة تقنية ا معلومات 


حوكمة تقنية ا معلومات ونظم الرقابة الداخلية طبقاً للجنة المنظمات الراعية (كوسو- 6050©) 


وعلى كل حال» حتى وإن كان لدى المؤسسة قواعد سلوكية قوية, فإن مبادثها غالباً ما 
قد تنتهك بسبب الجهل وليس بسبب المخالفات المتعمدة من قبل الموظف. ففي كثير من 
الأحيانء قد لا يدرك الموظفون أنهم يرتكبون خطأ أو قد يعتقدون خطا أن أفعالهم تصب 
في مصلحة المؤسسة. هذا الجهل ينتج غالباً عن ضع ف التوجيه المعنوي من قبل الإدارة 
العليا أكثر من كونه ناتجاً عن نية الغش من قبل الموظفء وأنه يلزم نقل سياسات اللمؤسسة 
وقيمها إلى جميع مستوياتها. وبينما قد يوجد "فاسدون" غالياً في أي مؤسسة» فإن الرسائل 
المعنوية القوية سوف تشجع الجميع على العمل بشكل سليم» وينبغي أن يكون الهدف 
دائما نقل الرسائل أو الإشارات المناسبة إلى جميع أنحاء المؤسسة. 

يتعين على أصحاب المصلحة جميعهم» وخصوصاً كبار المديرين» أن يفهموا بشكل جيد 
مدونة قواعد السلوك وكيفية تطبيقها. وإذا لم تعد القواعد الحالية مناسبة للزمن أو لا يبدو 
أنها تعالج قضايا أخلاقية هامة تواجه المؤسسة أو لا يبدو أن المؤسسة قادرة على نقل هذه 
القواعد إلى أصحاب المصلحة بصورة منتظمة» فإن الإدارة تكون في حاجة إلى أن "تنشط" 
وتصحح هذا القصور. وبينما تصف مدونة قواعد السلوك قواعد السلوك الأخلاقيء وأنه 
يتعين على الإدارة العليا أن تنقل الرسالة الأخلاقية السليمة في جميع أنحاء المؤسسة؛ نجد 
أن الحوافز والإغراءات الأخرى يمكن أن تؤدي إلى تآكل هذه البيئة الرقابية الشاملةء كما 
قد هيل بعض الأفراد إلى الانخراط في أعمال غير شريفة أو غير قانونية أو غير أخلاقية إذا 
أعطتهم مؤسساتهم حوافز أو إغراءات لعمل ذلك. على سبيل المثالء قد تقوم امؤسسة 
بوضع أهداف أداء غير واقعية ومرتفعة جداً للمبيعات أو حصص الإنتاج» فإذا كانت هناك 
مكافآت ضخمة لتحقيق أهداف الأداء تلك أو ما هو أسوأ كوجود تهديدات قوية تنذر 
بفقد الأهداف؛ فإن ذلك قد يشجع الموظفين على المشاركة في الممارسات الاحتيالية أو 
المشكوك فيها لتحقيق تلك الأهداف. 
الالتزام بالكفاءة: 

يكن أن شاكل النيقة الرقاجة للمؤسية تقل عظين إا وطفت غدذا كينا من لاض 


فقن تون اللهازات الوط فة اللطلوية.. هما معاي حايس ال ميته اكه ون مسقو اق 
الكفاءة اللطلوبة لهام الوظائف المتنوعة بها وكذا ترجمة هذه اللتطلبات إلى مستوياث 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات 1۹ 


الفصل الرابع 


ضرورية من المعرفة وامهارة. فعند وضع الأشخاص المناسبين في الوظائف المناسبة وتدريبهم 
بالشكل المناسب إذا تظلب الأمر ذلك: فإن المؤسسة تكون قد حققت بذلك مكونا مهما 
للبيئة الرقابية طبقاً لإطار (050©). 


مجلس الإدارة ولجنة التدقيق: 

تتأثر بيئة الرقابة بشكل كبير بأعمال مجلس إدارة المؤسسة ولجنة التدقيق فيهاء فوجود 
مجلس إدازة فكال ومستقل يكذ مكو أسابيا تة الرقابة 'القاصة:بلجنة امات الراعية 
(050©). ومن خلال وضع سياسات رفيعة المستوى ومراجعة السلوك العام للشركة. 
يتحمل مجلس إدارة المؤسسة ولجنة التدقيق فيها المسؤولية المطلقة لتحديد "النغمة 
السائدة" داخل المؤسسة. 


فلسفة الإدارة ونمط التشغيل: 

إن فلسفة الإدارة العليا ونمط التشغيل الذي تعمل به له تأثير كبير في البيثة الرقابية 
للمؤسسة:؛ فبعض مديري الإدارة العليا في كثير من الأحيان يتحملون مخاطر كبيرة في 
مشاريع أعمالهم أو منتجاتهم الجديدة. في حين يكون غيرهم حذرين جداً أو متحفظين. 

ويبدو أن بعض المديرين يعملون وفق أهوائهم, في حين يصر غيرهم على ضرورة 
الموافقة السليمة على كل إجراء وتوثيقه كما ينبغي. كما قد يتبنى البعض نهجاً قاسياً 
في تفسيراتهم للقواعد الضريبية وإعداد التقارير الماليةء في حين آن ا الآخر يتبع 
التعليمات بدقة. ولا تعني هذه التعليمات بالضرورة أن تيا ف جد والآخر سيئ 
على طول الخط. 

إن هذه الاعتبارات الخاصة بفلسفة الإدارة والنمط التشغيلي تمثل جميعها جزءاً من 
بيئة الرقابة للمؤسسة. وف حين أنه لا ثوجد مجموعة واحدةٌ من الأثماط والفلسفات تكون 
هي الأفضل لجميع المؤسساتء فإن هذه العوامل تكون مهمة عند دراسة المكونات الأخرى 
للرقاية الداخلية وممارسات حوكمة تقنية المعلومات في مؤسسة ما. 


1۰ دليل المستول التنفيذي لحوكمة تقنية ا معلومات 


حوكمة تقنية المعلومات ونظم الرقابة الداخلية طبقاً للجنة المنظمات الراعية (كوسو- 6050©) 


الهيكل التنظيمي: 

يوفر مكون الرقابة الداخلية هذا إطاراً لأنشطة التخطيط والتنفيذ والرقابة والمتابعة 
للمساعدة في تحقيق الأهداف العامة للمؤسسة. إن عامل بيئة الرقابة هذا يتعلق بكيفية 
إدارة الوحدات أو الإدارات وتنظيمها. ومع أن الهيكل التنظيمي يمثل جانباً مهماً من جوانب 
البيثة الرقابية للمؤسسة: فإته لا يوجد هيكل معينٌ يقدم لنا بيئة رقابية داخلية مفضلة. 


إن الهيكل التنظيمي هو الطريقة أو النهج الموضوع لجهود العمل الفردي التي يلزم 
تخصيصها وتكاملها بهدف تحقيق الأهداف العامة. فكل مؤسسة تحتاج إلى خطة فعالة 
لتنفيذ هذا الهيكل التنظيمي» لكن ضعف نظم الرقابة في المنظمة قد يؤثر بشكل كبير في 
البيئة الرقابية بأكملها. وعلى الرغم من الخطوط الواضحة للسلطة» فإن المؤسسات في كثير 
من الأحيان تعاني بعض أوجه القصور الداخلية التي يمكن أن تزيد كلما اتسعت المؤسسات 
بمرور الوقت» الأمر الذي يتسبب في حدوث خلل في إجراءات الرقابة. 


تخصيص السلطة والمسئولية: 

يتشابه هذا الجانب من بيئة الرقابة مع مكون الهيكل التنظيمي الذي سبق مناقشته. 
ويحدد الهيكل التنظيمي للمؤسسة تخصيص إجمالي جهود العمل في المؤسسة وتكاملها. ويمثل 
تخصيص الصلاحية في الأساس الطريقة التي يتم بها تحديد المسئوليات من حيث التوصيف 
الوظيفي ويتم صياغتها طبقا مخططات المؤسسة. وعلى الرغم من أن المهام الوظيفية لا يمكن 
أن تخلو تماما من بعض المسئوليات المتداخلة: فإنه كلما كان بيان هذه امسئوليات أكثر دقة 
كان ذلك أفضل. إن الإخفاق في وضع تعريف واضح لصلاحية ومسئولية محل العمل يتسبب 
غالباً في الالتباس والتعارض بين جهود العمل الفرديةٌ والجماعية. 


سياسات وممارسات الموارد البشرية: 

تشمل ممارسات الموارد البشرية توظيف وتوجيه وتدريب وتقييم العامليين وكذلك 
تقديم المشورة لهم وترقيتهم ومكافأتهم واتخاذ الإجراءات الإصلاحية المناسبة بشأنهم. 
وبينما يتعين على إدارة الموارد البشرية الاحتفاظ بسياسات معلنة ومواد إرشادية ملائمة 
وكافية» فإن ممارساتها الفعلية تبعث برسائل قوية للموظفين عن المستويات المتوقعة لتوافق 
دليل المسئول التنفيذي لحوكمة تقنية المعلومات H1‏ 


الفصل الرابع 


الرقابة الداخلية والسلوك الأخلاقي والاختصاص. إن الموظف الأعلى الذي يتجاهل أو ينتهك 
Es‏ منائنة :إذازة اللؤارة اليقرئة معان مانيس ESRI‏ المستويات الأخرى 
في المؤسسة: ويزداد صدى هذه الرسالة بشكل أكبر وض عندما ينال ف أدنى عقوبة 
تأديبية لانتهاكه السياسة نفسها في حين يغض الجميع الطرف عن المخالف الأعلى. 

تعد سياسات إذازةالكواره الشرمة وإجراداتها الفغالة مكونا بالغ الأهمية في بيئة الرقابة 
الخاصة بلجنة المنظمات الراعية (0050©0) بكاملها. ولن تحقق الرسائل الواردة من قمة 
الهيكل القوي للمؤسسة إلا القليل إذا انعدم لدى المؤسسة إجراءات وسياسات قوية لإدارة 
الموارد البشرية. 

خلاصة القول: كما أن الأساس المتين أمرٌ ضروريٌ لإنشاء مبنى متعدد الطوابق» فإن بيئة 
الرقابة تعد أساس المكونات الأخرى للرقابة الداخلية. إن المؤسسة التي تريد أن تنشئ بنية 
رقابة داخلية قوية ينبغي عليها أن ثولي اهتماماً خاصاً لوضع حجر أساس صلب في أساس 
بيئة الرقابة تلك. إن بيئة الرقابة الداخلية الخاصة بلجنة ال منظمات الراعية (0050) لا 
تتطلب مجرد مجموعة قواعد من نوعية "هل يتساوى الدائنون مع المدينون" لكنها تحتاج 
إلى سياسات قوية وفعالة وشاملة على مستوى الممؤسسة. 


تقييم المخاطر: 

إن المستوى التالي - أو الطبقة التي تعلو مستوى بيئة الرقابة في إطار الرقابة الداخلية 
للجنة المنظمات الراعية (0050) - هثل مستوى تقييم المخاطر. إن قدرة المؤسسة 
على تحقيق أهدافها يمكن أن تكون عرضة للمخاطر بسبب وجود نوعية من العوامل 
الداخلية والخارجية. كما أن فهم بيئة المخاطر وإدارتها كل عنصا اسا ےا في تأسيس 
الرقابة الداخلية ويجب أن تباشر المؤسسة إجراءات تقيّم من خلالها المخاطر المحتملة 
التي قد تؤثر في تحقيق أهدافها المتنوعة. ويركز مكون تقييم المخاطر هذا على الرقابة 
الداخلية داخل المؤسسة» ويكون تركيزه أضيق بكثير من تركيز إطار إدارة مخاطر الؤسسة 
ERM)‏ 0050) وقضايا إدارة مخاطر حوكمة تقنية المعلومات التي تتم مناقشتها في 
الفصل الثامن من هذا الكتاب. 


1۲ دليل المستول التنفيذي لحوكمة تقنية ا معلومات 


حوكمة تقنية المعلومات ونظم الرقابة الداخلية طبقاً للجنة المنظمات الراعية (كوسو- 050©) 


وينبغي أن يكون تقيبم مخاطر الرقابة الداخلية للجنة المنظمات الراعية (050©) 
عملية استشرافية يتم تنفيذها على جميع المستويات وبشكل فعلي على جميع الانشطة 
داخل المؤسسة. ويصف إطار الرقابة الداخلية للجنة المنظمات الراعية (0050) تقييم 
المخاطر على أنها عملية من ثلاث خطوات: 

-١‏ تقدير تأثير المخاطرة. 

۲- تقييم احتمال أو تكرار حدوث المخاطرة. 

*- البحث في كيفية إدارة المخاطرة كما ينبغي وتقييم الإجراءات التي يجب اتخاذها. 

إن عملية تقييم المخاطرة الخاص بلجنة المنظمات الراعية (0050) ثُلقي بالمسئولية 
على الإدارة لتقييم ما إذا كانت المخاطرة مؤثرة, فإن كان الأمر كذلكء فعلى الإدارة اتخاذ 
الإجراءات المناسبة. 

كما تؤكد الرقابة الداخلية الخاصة بلجنة المنظمات الراعية (0050) أن تحليل المخاطر 
ليس عملية نظرية: ولكنه في كثير من الأحيان قد يكون حاسما في تحقيق النجاح الشامل 
للكيان ا مؤسسي. ويجب على الإدارة. بوصفها جزءاً من التقييم الشامل الذي تجريه على 
الرقابة الداخليةء أن تتخذ الخطوات اللازمة لتقييم المخاطر التي قد تؤثر في المؤسسة كلها 
فضلاً عن المخاطر التي تدور حول مختلف أنشطة المؤسسة وكياناتها. وتوجد نوعية من 
ا مخاطرء تنتج عن عوامل داخلية أو خارجيةء قد تؤثر في المؤسسة بشكل عام. 

إن عنصر تقييم المخاطر الخاص بلجنة المنظمات الراعية (0050) هو المجال الذي 
يدور حوله الكثير من اللغط والبلبلة بسبب تشابه مسماه مع إطار إدارة المخاطر الخاص 
بلجنة المنظمات الراعية (8131 2050) الذي تتم مناقشته في الفصل الثامن من هذا 
الكتاب. إن مكون تقييم المخاطر لإطار الرقابة الداخلية الخاص بلجنة المنظمات الراعية 
(2050) يشتمل على تقييمات للمخاطر داخل مؤسسة فردية» في حين يشمل إطار إدارة 
المخاطر الخاص بلجنة المنظمات الراعية (882/1 0050) الكيان المؤسسي بأكمله وخارجه. 
وفي واقع الأمرء هاتان قضيتان منفصلتان؛ وأحدهما لا يصح أن يكون بديلاً عن الآخر. 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات ۳ 


الفصل الرابع 


أنشطة الرقابة: 

تسمى الظبقة التالية من إظار الرقابة الداخلية الخاص بلجنة المنظمات الراعية 
(0050) أنشطة الرقابة وتمثل العمليات والإجراءات التي تساعد على ضمان تنفيذ 
الأعمال المخصصة ,لعالجة المخاطر. وتوجد أنشطة الرقابة على جميع المستويات» وفي كثير 
من الحالات قد يتداخل بعضها مع بعض. وهي عناصر ضرورية لبناء ثم ترسيخ نظم رقابة 
داخلية فعالة في الؤسسة. 

يحدد إطار الرقابة الداخلية الخاص بلجنة المنظمات الراعية (0050©0©) سلسلة من هذه 
الأنشطة التي يمكن تصنيفها بشكل عام دليلاً إرشادياً أو تقنية معلومات أو نظم رقابة 
إدارية» كما هكن توصيفها من منظور كونها أنشطة وقائية أو تصحيحية أو كاشفة. وعلى 
الرغم من عدم وجود مجموعة تعريفات للرقابة الداخلية تكون صالحة لجميع الأحوال 
فإن نظم الرقابة الداخلية الخاص بلجنة المنظمات الراعية (0050) توصي بأنشطة الرقا 
التالية للمؤسسة: 





حار 


- مراجعات المستوى الأعلى: 

يتعين على الإدارة العليا مراجعة نتائج أدائها ومقارنة تلك النتائج بالميزانيات والإحصاءات 
التنافسية وغيرها من مقاييس المقارنة ا مرجعية. ومما ثل هنا أنشطة رقابية تلك الإجراءات 
التي تتخذها الإدارة لمتابعة نتائج مراجعات المستوى الأعلى ولاتخاذ إجراءات تصحيحية. 


الإدارة الفنية أو الوظيفية المباشرة: 

يجب على المديرين على مختلف مستوياتهم مراجعة التقارير التشغيلية الصادرة من 
أنظمتهم الرقابية واتخاذ الإجراءات التصحيحية بالشكل المناسب. ويوجد لدى العديد من 
أنظمة الإدارة تقارير استثنائية تغطي تلك الأنشطة الرقابية. فعلى سبيل ال مثال» ضرورة وجود 
آلية في نظام أمن تقنية المعلومات للإبلاغ عن محاولات الوصول غير المصرح بهء وضرورة 
أن يصاحب ذلك نشاط رقاب يقوم بمتابعة هذه الأحداث المبلغ عنها واتخاذ الإجراءات 
التصحيحية المناسبة. ويرتبط بعض هذه الأنشطة ارتباطاً وثيقاً بأفضل ممارسات مكتبة 
البنية التحتية لتقنية المعلومات التي تتم مناقشتها في الفصل السادس من هذا الكتاب. 


11 دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


حوكمة تقنية المعلومات ونظم الرقابة الداخلية طبقاً للجنة المنظمات الراعية (كوسو- 6050©) 


معالجة المعلومات: 

تحتوي نظم تقنية المعلومات غالباً على نظم رقابة للتحقق من التوافق في مجالات 
معينة ثم الإبلاغ عن أي استثناءات في الرقابة الداخلية. وينبغي أن تقابل هذه البنود 
الاستثنائية بإجراء تصحيحي من خلال إجراءات مؤتمتة للنظم أو موظفي التشغيل أو 
الإدارة. وتشمل أنشطة الرقابة الأخرى نظم رقابة على تطوير نظم جديدة أو على الوصول 
إلى ملفات البيانات والبرامج. 


نظم الرقابة المادية: 

من الضروري احتفاظ المؤسسة بنظم رقابة مناسبة على أصولها المادية متضمناً ذلك 
التجهيزات والمخزون والأوراق المالية القابلة للتداول. ويمثل هنا البرنامج الفعال للجرد 
المادي الدوري نشاطاً رئيسياً من أنشطة الرقابةء كما أن تقنية المعلومات والتدقيق الداخلي 
يمكن أن يلعبا دوراً كبيراً في متابعة مدى الامتثال. 


مؤشرات الأداء: 

ينبغي على الإدارة ربط مجموعات البيانات التشغيلية والمالية بعضها ببعض واتخاذ 
الإجراءات التحليلية أو الاستقضائية أو التضحيحية المناسبة. ‏ ومثل هذه العملية نشاطاً 
رقابياً هاماً للمؤسسة يمكن أن يلبي أيضاً متطلبات إعداد التقارير المالية والتشغيلية. 


الفصل بين المهام: 

يجب تقسيم المهام أو فصلها بين مختلف الأفراد للحد من مخاطر حدوث خط أو 
E)‏ غين لائقة: N SS‏ رفانا اليا اتاسنا يلزم وجوده تقريبا على شاشة 
رادار كل مدير أعلى. 

ولا تمثل هذه الأنشطة الرقابية سوى عدد قليل من الأنشطة الكثيرة التي يتم مباشرتها 
ضمن السياق المعتاد للعمليات التشغيلية للأعمالء لكنها تتضمن السياسات التي تؤسس 
مما يجب القيام به والإجراءات اللازمة لتنفيذها. وعلى الرغم من أن أنشطة الرقابة قد يتم 
الإبلاغ بها شفوياً في بعض الأحيان, فإنه ينبغي تنفيذها بشكل مدروس وبأمانة واستمرارية 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات 1 


الفصل الرابع 


وهذه رسالةٌ قوية لمراجعة أنشطة الرقابة الداخلية تلك. وبالرغم من أن المؤسسة قد تكون 
صاحبة سياسة معلنة تغطي ل فإنه ينبغي أن يكون هناك إجراءات رقابة داخلية 
ثابتة لدعم هذه السياسة. وقد تكون هذه الإجراءات قليلة القيمة ما لم يكن هناك تركيز 
حاد على الحالة التي تُوَجه إليها هذه السياسة. وفي أغلب الأحيان قد تنشئ المؤسسة 
تقريرا سانيا كجزء من نظام آلي يتلقى من خلاله المستفيدون أكثر من مجرد المراجعة 
السطحية بقليل. إلا أنه وفقا لأنواع الحالات المبلغ عنهاء يجب أن تتلقي تلك الاستثناءات 
المبلغ عنها إجراءات متابعة ملائمة قد تتنوع تبعاً لحجم المؤسسة والنشاط الوارد في التقرير 
الاستثنائي. 

وتخت أن تكن ننه الأتقحطة الرفاجمة مرقيطة اأرقاطا وها فان هدقف 
تحديد المخاطر حسب عنصر تقييم المخاطر لإطار الرقابة الداخلية الخاص بلجنة المنظمات 
الرافة (66056): كنا جب غل كار اللديرين انا أن يتذكروا أن الزقاية: الَداخَليَة ما 
هي إلا مجرد عملية وأن أنشطة الرقابة الملائمة يجب أن تعتمد يلعالجة ا مخاطر المحددة. 
ولا يلزم اعتماد أنشطة الرقابة فقط لأنها تبدو "الشيء الصحيح الذي ينبغي عمله". حتى 
إذا لم تكن هناك مخاطر كبيرة في المنطقة التي يتم فيها اعتماد النشاط الرقابي. وفي 
بعض الأحيان» قد تُعتمد أنشطةٌ رقابيةٌ تكون ربما عالجت ذات مرة بعض مخاوف مخاطر 
الرقابة» على الرغم من أن هذه المخاوف قد تلاشت إلى حد كبير. ولا ينبغي تجاهل 
نشاط الرقابة لمجرد عدم وقوع أي مخالفة رقابية سابقةء لكن الرقابة تحتاج وبشكل 
دوري إلى إعادة تقييم للمخاطر النسبية المرتبطة بها. وينبغي أن تسهم جميع أنشطة 
الرقابة الداخلية في الهيكل الرقابي بشكل عام. كما يجب على مدققي تقنية المعلومات أن 
يضعوا هذا المفهوم في الاعتبار عند قيامهم بمراجعة الرقابة الداخلية وتقديم التوصيات. 
ويؤكد إطار الرقابة الداخلية الخاص بلجنة المنظمات الراعية (©0050) على أن إجراءات 
الرقابة ضرورية لجميع نظم تقنية المعلومات الهامة: المالية والتشغيلية والمرتبطة بالامتثال. 
وتقسم نظم الرقابة الداخلية (0050) ضوابط نظم المعلومات إلى ضوابط عامة وضوابط 
تطبيق نات معترف بها وتنطبق الضوايظ:الغافة غلن الك من إذارات نظ اللعلُومات 
للمساعدة في التأكد من توافر اا رقابية كافية على جميع التطبيقات. فقفل الأمان 
المادي المثبت على باب مركز خوادم تقنية المعلومات يُعتبر مثالا على الرقابة العامة لجميع 


لل دليل المستول التنفيذي لحوكمة تقنية ا معلومات 


حوكمة تقنية ا معلومات ونظم الرقابة الداخلية طبقاً للجنة المنظمات الراعية (كوسو- 6050©) 


التطبيقات التي تعمل داخل المرفق. وتتم مناقشة الضوابط العامة على تقنية ا معلومات 
في الفصل السادس. كما أن ضوابط التطبيقات التي تتم مناقشتها في الفصل العاشر من 
هذا الكتاب تمثل أيضا مجالات رقابة مهمة على تقنية المعلومات لتقييم مدى كفاية نظم 
الرقابة الداخلية بأكملها. وتختتم وثيقة إطار الرقابة الداخلية (0050) بإجراء مناقشة 
حول ضرورة النظر في تأثير التقنيات المتطورة التي يجب أخذ تأثيرها في الحسبان دائما عند 
تقييم أنشطة رقابة تقنية المعلومات. ونظراً لسرعة إدخال تقنيات جديدة فما هو جديد 
اليوم سرعان ما يحل محله شيء آخر. 


الاتصالات والمعلومات: 

يصف إطار الرقابة الداخلية (0050) في الشكل التوضيحي )١-6(‏ معظم المكونات في 
شكل طبقات» واحدة فوق الأخرى, بدءاً من بيئة الرقابة باعتبارها الأساس. وهناك طريقة 
أخرى يُنظر من خلالها للإطار وهي أن تتصور إطار الرقابة الداخلية (0050) على أنها 
نموذج هرمي لا تمثل فيه مكونات المعلومات والاتصالات طبقة أفقية: بل عنصراً جانبياً 
يمتد عبر المكونات الأخرى. وترتبط الاتصالات والمعلومات بعضها ببعض نظراً لكونها أجزاء 
مهمة في إطار الرقابة الداخلية: إلا أنهما يمثلان في ذات الوقت مكونات رقابية داخلية 
يتميز بعضها عن بعض. كما يجب نقل المعلومات المدعومة من نظم تقنية المعلومات إلى 
أعلى المؤسسة وأسفلها بأسلوب وإطار زمني يسمح للأشخاص بتنفيذ المهام الموكلة إليهم. 
وبالإضافة إلى أنظمة الاتصالات الرسمية وغير الرسمية» يجب أن يكون لدى المؤسسات 
إجراءات فعالة تعمل على تنفيذها للتواصل مع الأطراف الداخلية والخارجية. وكجزء من 
أي تقييم للرقابة الداخلية يلزم فهم تدفقات المعلومات والاتصالات والعمليات المرتبطة بها 
داخل المؤسسة. (انظر الشكل التوضيحي .)٠-٤‏ 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات ۷ 


الفصل الرابع 


شكل توضيحي (5-6) 


المكونات الأساسية لإطار الرقابة الداخلية 050© 


متابعة الرقابة الداخلية 
نشطة الرقابة 
الإتصال والمعلومات 
الضوابط الداخلية 
لسليات التشغيل "مهم تقييم المخاطر 
| الضوابط الداخلية 
١‏ للإمتال :5 
ئة الرقابة الداخلية 
| الشرابط لاخلية بيئة الرقابة الداخلية 
٠‏ للتقارير المالية و 


وتحتاج المؤسسة إلى معلومات على جميع المستويات لتحقيق أهدافها التشغيلية والمالية 
والأهداف المرتبطة بمدى الامتثال. فعلى سبيل المثالء تحتاج المؤسسة إلى معلومات لإعداد 
التقارير المالية لتقديمها للمستثمرين الخارجيينء فضلاً عن التكلفة الداخلية ومعلومات 
عن تفضيلات السوق الخارجية لاتخاذ قرارات تسويقية صحيحة. ويلزم أن تتدفق هذه 
اللعلومات من المسعويات العلبا للمؤسحة زل العو اف الذنيا وكذلك من للسكويات لذا 
إلى المستويات العليا عائدة. وتتخذ الرقابة الداخلية (2050) نهجاً واسعاً لمفهوم نظام 
المعلومات مع الاعتراف بأن هذه الأنظمة يمكن أن تكون يدوية» آلية» أو حتى مفاهيمية. 
كما أن أياً من نظم المعلومات هذه يمكن أن تكون رسمية أو غير رسمية. كما أن ا محادثات 
المنتظمة مع العملاء أو الموردين يمكن أن تكون مصاذر معلومات مهمة جد وتعتبرانوعاً 


۸ دليل المسئول التنفيذي لحوكمة تقنية المعلومات 





حوكمة تقنية المعلومات ونظم الرقابة الداخلية طبقاً للجنة المنظمات الراعية (كوسو- 6050©) 


غير يسمي من نظم المعلومات. ويتعين على المؤسسة الفعالة أن تحتفظ بنظم معلومات 
تستخدمهًا للاستماع إلى طلبات العملاء أو الشكاوى وإحالة تلك المعلومات التي يبديها 
العميل إلى الموظفين المناسبين. 

كما تؤكد الرقابة الداخلية (0050) أهمية الاحتفاظ بالمعلومات ونظم الدعم ما يتفق 
مع احتياجات المؤسسة بأكلمها. وتتكيف نظم المعلومات لدعم التغييرات في مستويات 
كثيرة. فمدققو تقنية المعلومات على سبيل المثال يواجهون كثيراً حالات تكون قد شهدت 
تنفيذ تطبيق تقنية معلومات منذ سنوات لدعم احتياجات مختلفة. وعلى الرغم من 
إمكانية وجود ضوابط رقابية جيدة للنظام» فإن هذا النظام قد لا يدعم الاحتياجات الحالية 
للمؤسسة. وتتبنى نظم الرقابة الداخلية (0050) رؤية شاملة لأنواع تلك النظم: كما 
تشير إلى الحاجة إلى فهم كل من العمليات اليدوية والتقنيات الآلية. 


المتابعة: 

تعرض النظرة الهرمية للرقابة الداخلية (0050) الموضحة بالشكل التوضيحيى (6-؟) 
عنصر المتابعة بوصفه المستوى الأعلى والمتطور لعناصر الرقابة الداخلية (6050). وف حي 
أن نظم الرقابة الداخلية ستعمل بفاعلية مدعومة بشكل مناسب من الإدارة والإجراءات 
الرقابية وارتباطات المعلومات والاتصالات؛ لابد من إجراء عمليات لمتابعة تلك الأنشطة. 
كانت المتابعة ولمدة طويلة هي الدور الذي تقوم به تقنية المعلومات وغيرها من المدققين 
الداخليين ممن يقومون بالمراجعات لتقييم مدى الامتثال مع الإجراءات الموضوعة» لكن 
ومع ذلك» تتخذ نظم الرقابة الداخلية (0050) الآن رؤية أوسع للمتابغة أيضاء كما ارف 
بأن إجراءات الرقابة وغيرها من النظم تتغير بمرور الوقت. فما ظهر أنه فعالٌ عند بداية 
تثبيته قد لا يكون فعالاً في المستقبل نظراً للظروف المتغيرة والإجراءات الجديدة أو غيرها 
من العوامل. وقد تحتاج المنشأة إلى وضع مجموعة متنوعة من أنشطة المتابعة لقياس 
مدى فاعلية نظم الرقابة الداخلية لديها من خلال عمليات تقييم منفصلة إلى جانب القيام 
بأنشطة مستمرة لمراقبة الأداء واتخاذ إجراءات تصحيحية عند الحاجة. فالعديد من إدارات 
الأعمال الروتينية هكن تصنيفها على أنها أنشطة متابعة. وتعطي (0050) أمثلة على هذا 
المكون المهم من مكونات الرقابة الداخلية: 
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الوظائف الاعتيادية لإدارة التشغيل: 

تعد المراجعات الاعتيادية التي تجريها الإدارة لعمليات التشغيل والتقارير المالية أحد 
أنشطة المتابعة المستمرة الهامةء ولكن ينبغي أن ولي اهتماماً خاضاً بالاستثناءات المرصودة 
واتحرافنات الرقابة:الداأخلية ومما يزز الرقابة'اتداخلية مراغعة التقارين بصفة متعظمة 
واتخاذ إجراءات تصحيحية لأي استثناءات مرصودة. 


اتصالات من أطراف خارجية: 

تعتبر وسائل مراقبة الاتصالات الخارجية مثل رقم هاتف شكاوى العملاء من الأمور 
المهمة. كما تحتاج المؤسسة أن تتابع تلك المكاممات عن كثب وتنفذ الإجراءات التصحيحية 
بناء على هذه المكالمات كلما دعت الحاجة لذلك. 


البنية المؤسسية والأنشطة الرقابية: 

على الإدارة العليا دائماً القيام بمراجعة تقارير موجزة واتخاذ إجراءات تصحيحية بشأنهاء 
ويلعب والمستوى الرقابي الأول في الغالب دورا أكثر أهمية في عملية المتابعة. كما أن الرقابة 
المباشرة للأنشطة الكتابية» على سبيل المثال» ينبغي أن تراجع بشكل روتيني أخطاء ا مستوى 
الوق و تة كما عن غليها أن تضمن تخو أذاء الموظفين الكة: -ومكل :هنذا أيضاً 
أحد المجالات التي يكون من الأهمية بمكان القيام بفصل كاف بين المهام: كما أن تقسيم المهام 
بين الموظفين يسمح لهم بالقيام بدور متابعة بعضهم لبعض. 


الجرد المادي وتسوية الأصول: 

إن عمليات الجرد المادي الدوري. سواء لمخزون المستودعات أم الأوراق امالية القابلة 
للتداول أو أصول تقنية المعلومات» تعد من بين أنشطة المتابعة المهمة. فالجرد السنوي في 
متجر بيخ تجزتة مثلاً داق إل)فقق كيز ف البضاعةة وقذبيكون اعد الشاب للعدملة 
لهذا الفقد هو شبهة سرقةء مما يشير إلى ضرورة وجود نظم رقابة أمنية أفضل. 

وليست هذه سوى أمثلة قليلة من أنشطة المتابعة لنظم الرقابة الداخلية (0050) التي 
تُعتبر أشكالاً من الإجراءات التي ينبغي تنفيذها في العديد من المؤسسات. لكنها في كثير من 
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الأحيان لا يُنظر إليها على أنها أنشطة متابعة مستمرة. فأي إدارة أو عملية تقوم بمراجعة أنشطة 
المؤسسة بصفة مستمرة. ثم تقترح إجراءات تصحيحية محتملة يجب النظر إليها باعتبارها 
نشاط متابعة. وفي حين يشير إطار الرقابة الداخلية (2050) إل أهمية أنشطة المتابعة هذه 
فإنه يشير أيضاً إلى أنه "قد يكون من المفيد إلقاءٌ نظرة جديدة من وقت لآخر على فاعلية 
نظم الرقابة الداخلية من خلال القيام بتقييمات منفصلة". وتعتمد وتيرة تلك التقييمات أو 
المراجعات المنفصلة وطبيعتها بشكل كبير على طبيعة المؤسسة وأهمية المخاطر التي يجب 
مراقبتها. 

وحين ترغب الإدارة في بدء إجراء تقييم دوري لنظم الرقابة الداخلية لديها بكاملهاء ففي 
الغالب يجب أن تبدأ بتقييم مجالات رقابية محددة. ويبدأ إجراء هذه المراجعات غالباً عندما 
تكون هناك عملية استحواذ أو تغيير في قطاع العمل أو في بعض الأنشطة المهمة الأخرى. 

وتؤكد (0050) أيضاً أنه هكن إجراء هذه التقييمات من قبل الإدارة التنفيذية المباشرة 
من خلال إجراء مراجعات تقييم ذاتي. ومع ذلك يجب على الإدازة المسؤولة في هذا المجال 
أن تنابع جدولة هذه التقييمات الذاتية وإجراءها بصفة مستمرة. إن هذا النوع من 
المراجعة المتولدة داخلياً هكن أن يشير إلى مشاكل رقابية محتملة ويتسبب في أن تقوم إدارة 
التشغيل بتنفيذ الأنشطة المتعلقة بالإجراءات التصحيحية. ولأن مراجعات التقييم الذاقي 
تلك لن تكون شاملة مثل التدقيق الداخلي النمطيء فيجب البدء في مراجعات المتابعة إذا 
تصادف وجود مشاكل كبيرة محتملةء وذلك من خلال القيام بمراجعات تقييم ذاقي محدودة. 


عملية تقييم الرقابة الداخلية: 

تلخص ال مواد الإرشادية للرقابة الداخلية (2050) عملية تقييم مراجعة نظم الرقابة 
الداخلية. فينبغي لمثل هذا اقيم أولاً أن ينمي لديه فهم تصميم النظام» ثم يقوم باختبار 
نظم الرقابة الأساسيةء ثم يضع استنتاجات بناءً على نتائج الاختبار. كما تشير نظم الرقابة 
الداخلية (0050) إلى المقارنة المرجعية على أنها نهج بديل. وتُعرف المقارنة ا مرجعية 
بأنها عملية مقارنة عمليات المؤسسة وإجراءات الرقابة لديها مع مثيلاتها في نظائرها 
من المؤسسات الأخرى. فيتم إجراء المقارنات مع مؤسسات مماثلة أو مع ما يقابلها من 
إحصاءات الصناعة المنشورة. ويكون هذا النهج مناسباً لبعض الإجراءات وممتلثاً بالمخاطر 


دليل امستول التنفيذي لحوكمة تقنية المعلومات ۳ 


الفصل الرابع 


للبعض الآخر. فمثلاً يكون من السهل نسبياً أن تقيس حجم التوظيف ومستوياته ومتوسط 
التعويضات لوظيفة المبيعات مح ما يقابلها من المؤسسات المماثلة في الصناغة العامة 
نفسها. ومع ذلك فإن المُقيّم قد يواجه ضعوبات في محاولته مقارنة عوامل أخرى بسبب 
العديد من الاختلافات الصغيرة التي تجعل جميع المؤسسات فريدة من نوعها. 


خطط عمل التقييم: 

تقر نظم الرقابة الداخلية (0050) بأن العديد من الإجراءات الفعالة للغاية تكون 
غير رسمية وغير موثقة. كما أن العديد من نظم الرقابة غير الموثقة هذه يمكن اختبارها 
وتقييمها بالأسلوب نفسه المتبع في اختبار النظم الموثقة وتقييمها. وحيث إن وجود مستوى 
مناسب من التوثيق يجعل أي تقييم لنظم الرقابة الداخلية أكثر كفاءة ويسهل فهم الموظفين 
لكيفية إجراء العمليات» فإن هذا التوثيق لا يكون ضرورياً بصورة مستمرة. فأي مراجعة 
لأنظمة الرقابة المالية الداخلية في المئؤسسة سيبحث بالتأكيد عن مستوى معين من توثيق 
النظم كجزء من أعمال المراجعة. فإذا وجدت عملية حالية غير رسمية وغير موثقة لكن 
فاعليتها محل توافق» فإن فريق المراجعة المعين سيكون بحاجة إلى إعداد توثيق إجراءات 
التقييم بهدف شرح كيفية تنفيذ هذه العملية وطبيعة نظم الرقابة الداخلية لديها. 


الإبلاغ عن أوجه القصور في الرقابة الداخلية: 

سواء تم تحديد أوجه قصور الرقابة الداخلية من خلال العمليات الموجودة في نظام 
الرقابة الداخلية ذاته أو من خلال أنشطة المتابعة أو الأحداث الخارجية الأخرىء فإنه يلزم 
تبليعها إلى المستويات المختصة في إدارة المؤسسة. 

والسؤال الرئيسي الذي يطرحه أي مُقَيّم نظم رقابة داخلية هو تحديد ما ينبغي الإبلاغ 
عنه في ضوء الكم الهائل من التفاصيل التي يمكن أن تواجهه» ولمن يجب أن توجه هذه 
التقارير. وتنص نظم الرقابة الداخلية (0050) على أنء "جميع أوجه القصور في نظم 
الرقابة الداخلية التي يمكن أن تؤثر في تحقيق المنشأة لأهدافها يجب الإبلاغ عنها لأولئك 
الذين يمكنهم اتخاذ الإجراءات اللازمة". ورغم أن هذا البيان الصادر من نظم الرقابة 
الداخلية (0050) يوحي بداية بأن الأمرّ معقول. فإن كبار المديرين من ذوي الخبرة 
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يدركون أنه يكون من الصعب تطبيقه غالباً. إن المؤسسات الحديثة؛ بغض النظر عن 
تنظيمها الجيد» ستكون مدانة بسبب ارتكابها للعديد من الأخطاء أو الإهمال في نظم 
الرقابة الداخلية. وتشير نظم الرقابة الداخلية (0050) إلى أن كل هذه الأمور ينبغي 
تحديدها والإبلاغ عنهاء حتى ما يبدو أنه أخطاءٌ صغيرةٌ يجب فحصه لفهم ما إذا كانت 
ناجمة عن أي قصور في الرقابة بكاملها. 

وتستخدم المواد الإرشادية المنشورة من قبل نظم الرقابة الداخلية (0050) مثال 
الموظف الذي اسعول على بضعة دولارات من صندوق المصروفات النثرية حيث يمكن 
اعتبار ذلك مسألة بسيطة نظراً لصغر المبلغ ا مسروق» لكن يكون من الضروري اعتباره 
انهياراً لنظم الرقابة على عدة مستويات. 

ففي حين أن المبلغ النقدي قد لا يكون كبيراء فإن نظم الرقابة الداخلية (050©) 
تحث على أنه يجب فحص هذه المسألة بدلاً من تجاهلهاء لأن "هذا التغاضي الواضح عن 
الاستخدام الشخصي لال المنشأة قد يرسل رسالة غير مقصودة للموظفين". فقبل ظهور 
قوانين ساربينز- أوكسلي (507). طبق المدققون الخارجيون بانتظام مفهوم ما كان يسمى 
"الأهمية النسبية" عند القيام بإجراء المراجعات وقرروا أن بعض الأخطاء وال مخالفات كانت 
صغيرة لدرجة أنها غير جوهرية بالنسبة للاستنتاجات الكلية للمدقق الخارجي. 

وفي السنوات الأولى من مراجعات امتثال قوانين ساربينز- أوكسلي (×50) مع معايير 
التدقيق 452 الأصلية» كانت رسالة العديد من المدققين الخارجيين تفيد أن الأهمية النسبية 
لا تؤخذ بعين الاعتبان فالخطأ هو الخطأء وقد تسبب هذا النهج في الشعور بالإحباط لدى 
العديد من المديرين الذين تعجبوا من قيام مدققيهم الخارجيين بإثارة قضايا كانوا يرونها 
قضايا بسيطةء أما الآن ومع قوانين ساربينز- أوكساي (×50) الحالية التي ناقشناها في 
الفصل الثاني من هذا الكتاب» فقد وضعت الأهمية النسبية والمخاطر النسبية في الاعتبار 
عند تقييم كفاءة نظم الرقابة الداخلية وفاعليتها. 

وتختتم الإرشادات الصادرة عن نظم الرقابة الداخلية (0050) بالنقاش حول من 
ينبغي توجيه تقرير أوجه قصور نظم الرقابة الداخلية إليه في المؤسسة» وتنص الفقرة الأولى 
منه على توجيه يفيد في التقييمات: 
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"إن الآثار الناتجة عن أوجه قصور نظم الرقابة الداخلية يجب الإبلاغ عنها ليس 
للشخص المسئول عن الإدارة أو النشاط المعني الذي يمكنه بحكم منصبه اتخاذ الإجراءات 
التصحيحية فحسب. لكن يجب الإبلاغ عنها في الوقت نفسه ممستوى واحد على الأقل من 
مستويات الإدارة الأعلى من الشخص المسئول بشكل مباشر. فهذه العملية تمكن ذلك الفرد 
من تقديم الدعم اللازم أو الإشراف على اتخاذ الإجراءات التصحيحية وعلى التواصل مع 
الآخرين في المؤسسة الذين قد تتأثر أنشطتهم. وحيث إن هذه الآثار قد تتخطى الحدود 
التنظيمية» فإن الإبلاغ عنها كذلك يجب أن يُنقل إلى مستوى أعلى بالدرجة الكافية ويوجه 
لضمان اتخاذ الإجراءات المناسبة". 

كما ينبغي على المؤسسة أيضاً أن تطور إجراءات الإبلاغ بحيث يتسنى إبلاغ المستويات 
المناسبة في المؤسسة بكل أوجه قصور نظم الرقابة الداخلية التي تتم مواجهتها من خلال 
مراجعة العمليات الجارية. ويعتبر إعداد التقارير الإدارية ED‏ اتا ما للغاية من 
جوانب نظم الرقابة الداخليةء كما أن للتدقيق الداخلي دوراً رائداً في هذه العملية من خلال 
مراجعات تدقيق تقنية المعلومات» ويجب أن نعي أيضاً الحاجة إلى عمليات متابعة أخرى 
عند مراجعة الرقابة الداخلية وتقييمها. 
أبعاد أخرى لإطار الرقابة الداخلية (6050©): 

فون اتا أن إطار الرقابة الداخلية (0050) عبارة عن نموذج ثلا الأبعاد كما هو 
مبين بالشكل التوضيحي »)١-٤(‏ وبالإضافة إلى البعد الخاص بالواجهة الأمامية الذي يغطي 
أنشطة الرقابة» فإن البعد الخاص بالجهة اليمنى يغطي الكيانات أو الأنشطة. في حين أن 
الجزء العلوي من مكعب الإطار يغطي جميع عناصر نظم الرقابة الداخلية: 

-١‏ فاعلية العمليات وكفاءتها. 

۲- موثوقية التقارير المالية. 

-٣‏ الامتثال للقوانين واللوائح المعمول بها. 

كل مجال من مجالات الرقابة الذي تم مناقشته حالاً - من بيئة الرقابة إلى المتابعة - 
يجب أن يؤخذ أيضاً بعين الاعتبار بالنسبة للبعدين الآخرين 


Ye‏ دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


حوكمة تقنية المعلومات ونظم الرقابة الداخلية طبقاً للجنة المنظمات الراعية (كوسو- 6050©) 


وفيما يتعلق بالبعد الخاص بالجانب الأهنء يجب تثبيت نظم الرقابة الداخلية وتقييمها 
عبر جميع الوحدات في المؤسسة. ولا يعني هذا أن نشاظا رقابياً ما كعملية اعتماد اللصروفات 
مكلا بحب أن ايكون متظايقاً في جميع وحدات المنظمة» سواء في امقر الرئيسي للمؤسسة أم 
في مكتب مبيعات يقح في منطقة جغرافية نائية. ومع ذلك يلزم وجود مجموعة متناغمة 
من عمليات الرقابة عبر المؤسسة بأكملها مع مراعاة الاعتبارات المخصصة للتعامل مع 
المخاطر النسبية ونطاقات عمليات التشغيل. كما ينبغي أن تكون نظم الرقابة الداخلية 
متوافقة غير أنه يتم تطبيقها بشكل مناسب في وحدات التشغيل الفردية. 

وبالنسة للبعد الثالث أو العلوي من إطار نظم الرقابة الداخلية (0050).: فإنه هثل 
أهمية أكبر. حيث يفيد بأنه يجب وضع أنشطة الرقابة الداخلية في جميع وحدات تشغيل 
المؤسسة مع الأخذ في الاعتبار عوامل الرقابة الداخلية الثلاثة: الفاعلية وموثوقية التقارير 
ا مالية والامتثال التنظيمي. وعند النظر إلى نظم الرقابة الداخلية من هذا المنظور الثلائي 
الأبعادء ستظهر دائماً بعض الاختلافات. لكنها ستكون تحت إطار رقابة داخلية أساسي 
ومتسق. فعند استخدام مثال الشركة التابعة في آسيا الوسطى بعيداً عن المقر الرئيسي في 
الولايات المتحدةء قد تخضع إجراءات اعتماد مصروفات الدولة للقوانين المحلية» كما أن 
غيرها من العمليات قد تكون مختلفة بعض الشيء نظراً لبعد الاتصالات أو الاختلافات في 
نظم تقنية المعلومات المحلية. ومع ذلك» يظل من الضروري تنفيذ نظم الرقابة الداخلية 
تلك على نحو يضمن موثوقية إعداد التقارير المالية إلى جانب إحالة النتائج إلى المقر 
الرئيسي للمؤسسة. 

ومن بين المفاهيم المهمة وا معتبرة للغاية التي تدعم نظم الرقابة الداخلية (050©) 
أن جميع الاعتبارات الخاصة بالرقابة الداخلية يتعين النظر إليها طبقاً مكعب (050©) 
ثلاث الأبعاد. معنى أن الرقابة يجب أن تؤخذ في الاعتبار من ناحية توافقها مچ HEL‏ 
بأكملها وعلاقتها مجالات أهداف الرقابة الثلاثة التي تمت مناقشتها حالا. ويقدم هذا 
المفهوم وسيلة فعالة للنظر في نظم الرقابة الداخلية من منظور شمولي. ويظل إطار الرقابة 
الذاغلية (6050) يشل معيارا مهما ومجموغة من اللواد الإرشاذية لقياس الرقابة الداغلية 
وتقييمها. 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات 1o‏ 


الفصل الرابع 


لقد أصبح إطار الرقابة الداخلية (0050) المعيار المعتمد في جميع أنحاء العام لبناء 
رقابة داخلية فعالة وتطويرها. إنها عمليةٌ مستمرةٌ في كل من أبعاده الثلاثة. فعنصر 
المتابعة الموجود أعلى الجهة الأمامية من النموذج لن تكون له قيمة تذكر مام تُمَعل 
عمليات الرقابة الداخلية جميعها حتى نصل بها إلى أساس بيئة الرقابة الداخلية. وعلى 
نحو مماثلء يجب وضع رقابة داخلية فعالة في جميع مستويات وحدات المنظمة» ويلزم أن 
تراعي نظم الرقابة هذه عناصر الرقابة الداخلية الثلاثة ا موجودة أعلى النموذج. 


إرشادات متابعة أنظمة الرقابة الداخلية (0050): 

لقد أصبحت المواد الإرشادية واسعة الانتشار عن إطار الرقابة الداخلية (0050) متاحة 
من خلال مصادر تتراوح بين معايير تدقيق (4107284) إلى مختلف مواد (15404) بالإضافة 
إلى موادنا الإرشادية الإضافية”. ومع ذلك فإن العديد من المؤسسات وليس بالضرورة 
محترفي التدقيق قد ترغب في الحصول على إرشادات أكثر تحديداً عن كيفية تنفيذ نظم 
الرقابة الداخلية (0050) في العمليات التشغيلية لأعمالها. وقد نشرت ©0050 مجموعة 
مواد إرشادية مكونة من ثلاثة مجلدات عن نظم الرقابة الداخلية في عام ۹١٠۲م"‏ . 

وتوكد المجلدات الثلاثة لهذه المجموعة الممتازة بوجه عام أهمية متابعة فاعلية النظم 
الرقابية الموضوعة. وعلى الرغم من وصفنا لإطار الرقابة الداخلية (0050) كما هو مبين 
بالشكل التوضيحي (6-؟) يُظهر أن المتابعة تعد رأسَ العملية بكاملهاء فإن هذه الدراسة 
الخاصة ب C080‏ تشير إلى أن بعض المؤسسات لم تستغل بالشكل الأمثل نتائج أنشطة 
متابعتها للخروج باستنتاجات عن فاعلية عمليات الرقابة الداخلية لديهاء مما أدى في بعض 
الأحيان إلى إجراء عمليات غير فعالة تنقصها الكفاءة. 

هذه الإرشادات المتعلقة بأنظمة المتابعة الداخلية توحي بأن المؤسسات تنفذ عمليات 
ا متابعة الخاصة بالرقابة الداخلية على غرار الطريقة التي تراقب بها المنظمات الصناعية 
الفاعلية والكفاءة المستمرة لإجراءات التصنيع لديها. وتقترح المواد بأن تقوم المؤسسات 
باعتماد عملية متابعة من أربع مراحل كما هو موضح بالشكل التوضيحي (7-6). 


۳۹ دليل امستول التنفيذي لحوكمة تقنية ا معلومات 


حوكمة تقنية ا معلومات ونظم الرقابة الداخلية طبقاً للجنة المنظمات الراعية (كوسو- 6050©) 


شكل توضيحي )۳-٤(‏ 


عملية متابعة تصميم وتنفيذ الإطار 0050© 






















1. فهم وتحديد أولويات 4. وضع وتنفيذ إجراءات 


المخاطر التي تتهدد فعالة من حيث التكلفة لتقييم 
أهداف المؤسسة تلك المعلومات المقنعة. 






2. تحديد الضوابط الرئيسية 
في نظام الرقابة الداخلية التي 
تعالج تلك المخاطر ذات 






كان نظام الرقابة الداخلية يعمل 


ينص هذا النهج ذو المراحل الأربع أنه ينبغي على المؤسسة أولاً أن تقوم بتحديد 
الأولويات وفهم المخاطر التي تتعرض لها أهدافها التنظيميةء ثم تحدد النظم الرقابية التي 
تعالج تلك المخاطر ذات الأولوية. ثم تأي الخطوة الثالثة وهي تحديد المعلومات التي 
من شأنها أن تشير بشكل مقنع إلى أن نظام الرقابة الداخلية يعمل بشكل فعال. ويدعو 
النموذج المقترح إلى القيام بإجراءات مجدية التكلفة لتقييم المعلومات التي تم جمعها من 
خلال عمليات المتابعة. 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات ۷ 


الفصل الرابع 


تتمة: أهمية الرقابة الداخلية (6050): 

يقدم هذا الفصل إطار الرقابة الداخلية (0050) بالغ الأهمية. فمديرو الإدارة العليا 
يعملون في بيئات مؤسسية متنوعة» واليوم سيواجهون في الغالب متطلبات إطار الرقابة 
الداخلية (6050). وعلى الرغم من تقديم هذا الفصل لمجرد وصف موجز للرقابة 
الداخلية (005©0). فإن المديرين التنفيذيين سيواجهون هذه القضايا عندما يقوم المدققون 
الخارجيون لديهم بمراجعة نظم الرقابة الداخلية باعتبار ذلك جزءاً من التدقيق المالي وكذلك 
عندما يقوم مدققوهم الداخليون بمراجعة نظم الرقابة الداخلية في مجموعة متنوعة من 
المجالات. 

كما يقدم إطار الرقابة الداخلية (0050©) أساساً لفهم مدى واسع من قضايا حوكمة 
تقنية المعلومات التي تناقش في فصول أخرى لاحقاً. ومن ثم فإن كبار المديرين يتعين 
عليهم تكوين معرفة عامة وفهم لإطار الرقابة الداخلية (00850) أساسا لفهم نظم الرقابة 
الداخلية للمؤسسة وكذا المسائل المتعلقة بحوكمة تقنية المعلومات. 
ملاحظات: 
. بيان معايير التدقيق رقم ١ء‏ تقنين معايير وإجراءات التدقيق» 41054: المعايير الهنية. 
”. تقرير اللجنة الوطنية حول التقارير المالية الاحتيالية (01 National Commission‏ 

.(Fraudulent Financial Reporting, 7 


۳. الرقابة الداخلية - إطار متكامل. هذا المرجع خاص بتقرير الضوابط الداخلية الصادرة 
عن 0050 والذي هكن طلبه من خلال المعهد الأمريكي للمحاسبين القانونيين ۸1٤۶۸‏ 
على الموقع ¬™iZ.c0ۆWWW.CPa2.‏ 

.٤‏ تم وصف معايير الرقابة الداخلية الخاصة بلجنة المنظمات الراعية 0050 في بيانات 
معايير التدقيق (5455) أرقام. 3 105 106 107 109 110 112. 

Robert Moeller, Sarbanes-Oxley Internal Controls: Effective Auditing " ه. انظر‎ 
."(with AS5, CobiT, and ITIL (Hoboken, NJ: John Wiley & Sons, 2008 


Guidance on Monitoring Internal Control Systems (COSO, 2009) .1 


1۸ دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


الفصل الخامس 
إطار كوبت (001811)) ومعهد حوكمة تقنية المعلومات 


يحتاج المهنيون المحترفون في ا مؤسسة وخصوصاً كبار المديرين أيضاً إلى استخدام 
مجموعة من المعايير أو أطر العمل لضبط كل من الممارسات المتعلقة بحوكمة تقنية 
المعلومات والإجراءات العامة الخاصة بالرقابة الداخلية. فالالتزام بإطار كهذا سيتيح فرصة 
اعتماد كبار المديرين وكذلك ال مهنيين داخل المؤسسة كل في مجال عمله بوصفهم أخصائيين 
في مجالات أعمالهم. وقد أصبح إطار الرقابة الداخلية الخاص بلجنة المنظمات الراعية 
(0050) الذي تم عرضه ومناقشته في الفصل الرابع من هذا الكتاب من الأدوات الهامة 
في مجال حوكمة تقنية المعلومات والذي يُستخدم لتقييم وتحسين عمليات حوكمة تقنية 
المعلومات المتعلقة بالعديد من النظم والعمليات الخاصة بتقنية المعلومات» ويستخدم أيضاً 
لتقييم وتحسين قواعد الرقابة المحاسبية الداخلية وفقا لقانون ساربينز - أوكسلي (×80)» 
الذي تطرقنا إليه في الفصل الثاني من هذا الكتاب. وعلى الرغم من ذلكء فقد أعرب بعض 
كبار المديرين والمهنيين ممن يعملون معهم في مجال تقنية المعلومات على وجه الخصوص 
عن مخاوفهم من استخدام إطار الرقابة الداخلية (0050) في ظل عامنا اليوم المتجه نحو 
تقنية المعلومات. وقد جاء هذا القلق بسبب عدم تركيز الإرشادات المنشورة والخاصة 
بإطار الرقابة الداخلية (0050) على أدوات وعمليات تقنية المعلومات بشكل كاف. فعلى 
سبيل المثالء تطرقت المواد الإرشادية الأصلية الخاصة بإطار الرقابة الداخلية (086) 
والتي تم نشرها عام 1197م (انظر الفصل الرابع) في الأساس إلى الضوابط الداخلية الخاصة 
بتطبيقات تقنية المعلومات على مستوى عالء مع أن هناك حاجة لمزيد من الإرشادات 
المتعلقة بالرقابة الداخلية لتقنية المعلومات في الوقت الراهن. 

إن الإطار الأكثر توجهاً نحو تقييم الرقابة الداخلية لتقنية ا معلومات والإرشادات المتعلقة 
بها يطلق عليه اسم إطار كوبت Control Objectives for Information and related‏ 
'00811 ogyاechno"‏ (أهداف ضوابط المعلومات والتقنيات ذات الصلة). وهو الإطار 
المعمول به في الواقع قبل سن قانون ساربينز أوكسلي (×80) بوقت طويل» وذلك من خلال 


دليل امستول التنفيذي لحوكمة تقنية المعلومات ۱۹ 


الفصل الخامس 


الإصدار الأول له عام 1997. وقد تم تطوير الإطار كوبت بداية لدعم المدققين الداخليين 
والخارجيين الذين يقومون بعمليات مراجعة النظم الحاسوبية والضوابط التقنية (يطلق عليهم 
غالبا اسم مدققي تقنية المعلومات 01]055ئا2 '11). لكن كوبت أصبح هذه الأيام هو الأداة 
المفضلة بالنسبة للعديد من المؤسسات لتحقيق الإمتثال للبند ٠٠٤‏ من قانون :50 الذي 
يتحدث عن إجراءات الرقابة الداخلية ودعم حوكمة تقنية المعلومات المتعلقة بها. فالإطار 
كوبت يقدم الإرشادات اللازمة لتقييم وفهم الضوابط الداخلية لتقنية المعلومات المؤسسية 
ويركز على موارد تقنية المعلومات لدى المؤسسة. لا يمكن اعتبار الإطار كوبت بديلاً عن إطار 
الرقابة الداخلية 0080 غير أنه عبارة عن طريقة مختلفة ومفضلة في بعض الأحيان للقيام 
باختبار ضوابط الرقابة الداخلية في ظل عالمنا اليوم المتمركز حول تقنية المعلومات. 

وعلى الرغم من إطلاق "كوبت" بالأساس ليعمل كدليل توجيهي يساعد مدققي تقنية 
المعلومات الداخليين والخارجيين الذين يقومون بمراجعة الضوابط الداخلية المتعلقة بتقنية 
المعلومات» فإنه تطور هذه الأيام ليصبح مثابة الأداة المساعدة لتقييم حوكمة تقنية 
المعلومات وجميع الضوابط الداخلية في المؤسسة. فهو يؤكد الروابط الموجودة بين موارد 
تقنية المعلومات والموارد الأخرى للأعمال ويوفر الإرشادات الداعمة لهذه الروابط وذلك 
لتقديم القيم الكاملة اة كا خد :هة الإطاز واحدا من الأذوات الهامة للشاغدة 
السلطة التنفيذية العليا في المؤسسة على إيجاد ممارسات فعالة لحوكمة تقنية المعلومات. 


سيقدم هذا الفصل نظرة عامة على المستوى التنفيذي للإطار كوبت والعديد من 
مكوتاته الاما م و مكدر أنفا الإستذان الان والأكن لدا الإطار جين وفت 
نشر هذا الكتاب. كما سيقوم بتقديم عناصر أخرى للإطار كوبت مثل الإرشادات الخاصة 
نوك مجلس الإدارة والإطارالخاص يقيضة انقتية'اللعلوفات ۷21-11 ارط بالإظان 
كوبت» وهو نهج يستخدم للتعرف على القيمة الخاصة بجميع أصول تقنية ا معلومات 
في المؤسسة بشكل أفضل. حيث يتناول إطار قيمة تقنية المعلومات ۷۸1-1۲ الافتراضات 
والتكاليف والمخاطر والنتائج المتعلقة بالمحفظة المتوازنة لاستثمارات الأعمال المدعومة 
بتقنية المعلومات. كما سنتحدث أيضاً عن أهمية إطار قيمة تقنية المعلومات 1۲ 7/21 في 
الفصل الثاني والعشرين من هذا الكتاب. وسيصف لنا هذا الفصل أيضاً العلاقة الموجودة 


۰ دليل المستول التنفيذي لحوكمة تقنية ا معلومات 


إطار كوبت ومعهد حوكمة تقنية المعلومات 


بين أهداف الإطار كوبت وإطار الرقابة الداخلية 0050 والذي تم الحديث عنه في الفصل 
الرابع من هذا الكتاب. 

وعلى الرغم من أن الإطار كوبت ظهر في الأصل أداة إرشادية خاصة بتدقيق تقنية 
ا معلومات» فإنه أصبح في الوقت الحالي أكثر اتساعاً وشمولاً. لذا ينبغي أن يكون لدى 
المسؤولين التنفيذين اليوم معرفة عالية المستوى برسالة الإطار كوبت وأهدافهء كما ينبغي 
عليهم أن يكونوا في الموضع الذي يمكنهم من سؤال كل من إدارة تقنية المعلومات والإدارة 
العامة لعمليات التشغيل امالية لديهم حول استخدام المؤسسة للإطار كوبت في أنشطة 
حوكمة تقنية المعلومات. فبالإضافة إلى معرفة وفهم إطار الرقابة الداخلية 0050 فإن 
فهم الإطار كوبت سوف يساعد المدير الأول على تحقيق مستوى فهم أفضل لدور الرقابة 
وعمليات الحوكمة وا مخاطر الخاصة بتقنية المعلومات في العديد من بيئات المؤسسة. 


المقدمة التنفيذية للإطار كوبت: 

إن كلمة '00811 تعد غير مألوفة أو غريبة بعض الشيء بالنسبة للعديد من الأشخاصء 
إلا أن هذا المصطلح أصبح متعارفاً عليه بشكل متزايد من قبل مدققي ومحترفي تقنية 
المعلومات والعديد من مديري المؤسسات. وعلى الرغم من أن هذا الإطار يُعرف الآن اختصاراً 
باسم C081١‏ فإنه في الأصل ولسنوات عديدة كان يكتب '0011: وفي كلتا الحالتين يشير 
هذا الاختصار إلى أهداف ضوابط المعلومات والتقنيات ذات الصلة Control Objectives)‏ 
„(for Information and related Technology‏ متدرا لتركيز هذا الإطار على كل من 
الضوابط والتقنيةء فقد تم استخدام الحروف الكبيرة (© و 1) في كتابة الحرف الأول والأخير 
من الاسم المختصر لهذا الإطار. فالإطار كوبت هو إطار للرقابة الداخلية الخاصة بحوكمة 
تقنية المعلومات وأداة دعم هامة لتوثيق وفهم المتطلبات الخاصة بالضوابط الداخلية 
للإطار 0050 وقانون ساربنز أوكسلي «50: وإدراك قيمة أصول تقنية المعلومات في 
المؤسسة والمخاطر المصاحبه لها. لذا يجب على العديد من أعضاء طاقم التدقيق الداخلي 
أن يكون لديهم على الأقل معرفة عامة أو عملية بالإطار كوبت. كما ينبغي على كبار 
المديرين في جميع أنحاء المؤسسة أن يكون لديهم معرفة عامة عن الإطار كوبت وأهميته 
بوصفة أداة لدعم حوكمة تقنية المعلومات. 
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قام معهد حوكمة تقنية المعلومات (111) Governance Institute‏ 711" والمنظمة 
المهنية الوثيقة الصلة بهء وهي جمعية تدقيق وضبط نظم ا معلومات (إزاكا) Information‏ 
Systems Audit and Control Association ([SACA)‏ بإصدار إطار العمل كوبت 
والمعايير الخاصة به والتعديل عليها على نحو منتظم. تركز جمعية إزاكا بدرجة كبيرة على 
عمليات تدقيق تقنية ا معلومات» في حين ينصب تركيز معهد 1701 على عمليات البحث 
والحوكمة. كما تقوم جمعية إزاكا أيضاً بإدارة الاختبارات والتصميم المهني لشهادة مدقق 
تقنية معلومات معتمد Certified IT Auditor‏ أو مدقق نظم معلومات (0154): هذا 
إلى جانب إدارتها لشهادات أخرى مثل شهادة مدير نظم معلومات معتمد 0ع قتاتته© 
Systems Manager (CISM)‏ 11022102 وتصميم شهادة وامتحانات معتمد في 
حوكمة تقنية المعلومات المؤسسية Certified in Governance of Enterprise 1T‏ 
(0©61717). وتستهدف شهادة مدير أمن معلومات معتمد (015211) مديري أمن تقنية 
المعلومات وتعزز من تطوير قدرات المهنيين المحترفين الذين يرغبون في الاعتراف بخبراتهم 
ومعرفتهم ذات الصلة بحوكمة تقنية ا معلومات. 

إن العديد من موظفي إدارة تقنية المعلومات والموظفين النظاميين في وحدة التدقيق 
الداخلي هم أيضاً أعضاء في جمعية إزاكا. ولأسباب تتعلق بالتوق إلى الماضي كانت جمعية 
إزاكا تخرف في الأصل باسم جمعية مدققي نظم معالجة البيانات الإلكترونية 182 
Auditors Association (EDPAA)‏ وهي مجموعة مهنية بدأت في عام ۱۹٩۷‏ من قبل 
المدققين الداخليين الذين شعروا بأن المنظمة المهنية التابعين لها والتي عرفت فيما بعد 
باسم» معهد المدققين الداخليين Institute of Internal Auditors (11A)‏ ۵ تهتم الاهتمام 
الكافي بأهمية نظم تقنية المعلومات والضوابط التقنية باعتبارها جزءاً من أنشطة الرقابة 
الداخلية. وقد نسينا أن نذكر أن 07 كانت في يوم من الأيام ترمز إلى Electronic Data‏ 
68 أي معالجة البيانات الإلكترونية» أما اليوم فإن هذا المصطلح قد عفا عليه 
الزمن وم يعد يُستخدم في مجال تقنية ا معلومات» ومع مرور الوقت قامت هذه المؤسسة 
المهنية بتوسيع نشاطها وأصبحت جمعية إزاكا. 

بدأت جمعية مدققي نظم معالجة البيانات الإلكترونية 8872484 - والتي كانت في 
المقام الأول عبارة عن منظمة مهنية حديثة العهد بمجال تدقيق تقنية المعلومات - في تطوير 
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مواد إرشادية مهنية خاصة بتدقيق تقنية المعلومات. وقد كان ذلك بعد فترة وجيزة من 
تأسيسهاء وبمجرد أن تطورت جمعية 12۶۸۸ إلى جمعية 154048 ثم تحولت في الوقت 
الحالي إلى معهد 1161ء أصبحت المعايير الأصلية الخاصة بتدقيق تقنية المعلومات الصادرة 
عنها مجموعة ممتازة من أهداف الرقابة الداخلية والتي تطورت إلى الإطار كوبت» وهو الآن 
بنسخته الخامسة التي أصدرت عام٠٠٠۲‏ ”. وهذا الإصدار الجديد للإطار لم يكن قد تم 
نشره بشكل رسمي حتى وقت نشرنا لهذا الكتاب» إلا أننا نستند في حديثنا هنا إلى الإصدارات 
الخاصة بالمسودة الأخيرة لهذه النسخة على افتراض أنه سيتم قريباً إطلاقها بشكل رسمي. 
من الناحية العمليةء فإن جميع العمليات المؤسسية ترتبط اليوم بموارد تقنية المعلومات» لذا 
فإن فهم مجال حوكمة تقنية المعلومات بصورة شاملة أصبح أمراً في غاية الأهمية. 

ويتكون الإطار كوبت مما يطق عليه اسم المبادئ الخمسة كءهامذء«ذام ۷# وهي 
عبارة عن مجالات واسعة ومتداخلة في الحوكمة والضوابط الداخلية» كما هو مبين بالشكل 
التوضيحي .)١1-5(‏ فإن مبادئ الإطار كوبت عبارة عن خمسة مجالات رئيسية تتمحور حول 
أهمية المبدأ الأساسي لحوكمة تقنية ا معلومات» وهذه المبادئ هي: 

المبدأ الأول لكوبت: إطار عمل متكامل لتقنية المعلومات: يدعو الإطار كوبت إلى بذل 
الجهود اللازمة لكي تتماثى عمليات تشغيل تقنية المعلومات وأنشطتها مع جميع عمليات 
التشغيل الأخرى في المؤسسة. وهذا يشمل إيجاد الروابط بين عمليات تشغيل الأعمال 
وخطط تقنية المعلومات في المؤسسة» هذا بالإضافة إلى وضع عمليات لتحديد العلاقات بين 
الجودة والقيمة والمحافظة عليها والتأكد من صحتها. 

المبدأ الثاني لكوبت: دوافع تحقيق القيمة لأصحاب ال مصلحة: يجب أن يكون هناك 
عمليات متعارف عليها لضمان تقديم وحدة تقنية المعلومات ووحدات التشغيل الأخرى في 
المؤسسة للقيم والفوائد المرجوة من خلال الدورة الخاصة بتقديمها وباستخدام الإستراتيجية 
التي تقلص التكاليف مع التأكيد على القيم الذاتية المكتسبة من أنشطة تقنية المعلومات 
وغيرها من الأنشطة الخاصة باممؤسسة. 

المبدأ الثالث لكوبت: تركيز الموارد على بيئة أو سياق الأعمال: مع التركيز على تقنية 
امعلومات» يجب أن تكون هناك استثمارات مناسبة» وإدارة سليمة» للعناصر الهامة في تقنية 
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المعلومات من موارد وتطبيقات ومعلومات وبنى تحتية وأفراد. حيث تعتمد الحوكمة 
الفعالة لتقنية المعلومات على هذا التحسين في المعرفة والبنية التحتية. 

المبدأ الرابع لكوبت: إدارة المخاطر: ينبغي أن يكون لدى الإدارةء وعلى جميع 
المستويات» فهم واضح لمدى رغبة المؤسسة في المخاطر أو ما يعرف ب «Risk Appetite‏ 
ومتطلبات الامتثال الخاصة بهاء وتأثير المخاطر الكبيرة. فلكل من إدارة تقنية المعلومات 
وغيرها من الإدارات الأخرى مسئولياتها الخاصة والمشتركة لإدارة ا مخاطر التي قد تؤثر 
بشكل فردي أو جماعي على المؤسسة بأكملها. 

المبدأ الخامس لكوبت: قياس الأداء: ينبغي أن تكون هناك عمليات متعارف عليها 
ومعمول بها متابعة ومراقبة تنفيذ الإستراتيجية واكتمال المشروع واستخدام الموارد وأداء 
العمليات وتقديم الخدمات. كما ينبغي أن تقوم آليات حوكمة تقنية المعلومات بترجمة 
إستراتيجيات التنفيذ إلى إجراءات ومقاييس لتحقيق تلك الأهداف. 


شكل توضيحي )۱-٥(‏ 


مبادئ كوبت الخاصة بحوكمة تقنية ا لمعلومات 
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هذه هي المبادئ أو مناطق التركيز الخمسة الخاصة بكوبت التي تحدد عناصره وتقدم 
تعريفا تخار الأنناسئة لحوكمة ثقمة اللخلومات:» بعتب الإظار كوبت من الأذوات الفعالة 
لتوثيق ضوابط تقنية المعلومات وجميع الضوابط الداخلية الأخرىء وينظر هذا الفصل إلى 
الإطار كوبت من منظور أشمل لاستخدامه للمساعدة في عمليات حوكمة تقنية ا لمعلومات 
الخاصة بالإدارة وا مؤسسة ووحدة التدقيق الداخلي. 

تقدم الأجزاء التالية من هذا الفصل وصفاً شاملاً للإطار كوبت. في الصيغة النهائية 
المسودة الإصدار الحالي وهو الإصدار الخامسء وعناصره الرئيسية التي تقوم بربط الأعمال 
مع أهداف تقنية المعلومات من خلال الضوابط الرئيسية ومعايير القياس الفعالة. إضافة 
إلى أن هذا الفصل سوف يقوم بوصف معايير كوبت مع ما يناظرها في إطار الرقابة الداخلية 
©005,. والذي تمت مناقشته في الفصل الرابع من هذا الكتاب» وأفضل الممارسات الخاصة 
بمكتبة البنية التحتية لتقنية المعلوماتء التي تم تقديمها في الفصل السادس من هذا الكتاب» 
والحوكمة الشاملة لتقنية ا لمعلومات والشركات. كما سيتم مناقشة العناصر والمكونات 
الرئيسية لحوكمة تقنية المعلومات. يعد الإطار كوبت إحدى الآليات الفعالة لتوثيق وفهم 
الضوابط الداخلية وإدارة عمليات حوكمة تقنية المعلومات على جميع المستويات. وعلى 
الرغم من أن كوبت كان في البداية عبارة عن مجموعة من المواد الإرشادية الخاصة ب 
"تدقيق تقنية المعلومات" فإنه اليوم أصبح أداة أكثر قوة. 


إطار العمل كوبت والعوامل المحركة له: 

تعد عمليات تقنية المعلومات والتطبيقات البرمجية والأجهزة المادية الداعمة لها 
من المكونات الرئيسية لأي مؤسسة في الوقت الراهن. فسواء كانت هذه المؤسسة 
من المؤسسات الصغيرة التي تقوم بممارسة عمليات البيع بالتجزئة التي لها احتياجات 
بسيطة كمتابعة المخزون ودفع رواتب الموظفينء أم كانت من المؤسسات الكبيرة جداً 
ضمن تصنيف أفضل خمسين مؤسسة أو "50 ۴ہ ٠ Fou‏ فجميعها و إلى مجموعة 
كبيرة من عمليات:تقنية المغلومات اللغرايطة واللعقدة أحياناً والتي تر راطا وفيقا 
ماك اا تحت أن نکی أن يحهل كل من عات 
الأعمال وموارد تقنية المعلومات الداعمة لها في المؤسسة ضمن علاقة وثيقة لتبادل 
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المعلومات. لا يمكن لتقنية المعلومات - وبالتأكيد لا ينبغي - أن تكشف لعمليات 
تشغيل الأعمال عن الأنواع الخاصة بعمليات ونظم تقنية المعلومات التي ينبغي عليها 
تنفيذهاء ولكنها تقوم بتوفير المعلومات التي تؤثر في قرارات تلك الأعمال. في الأيام 
الأولى لظهور نظم الحاسبات» شعر المديرون في بعض الأحيان» بأنهم يملكون العديد 
من الإجابات والحلول المطورة للنظم المتعلقة بأعمالهم» إلا أنها أحيانا كانت تأتي بنتائج 
عكسية قافا ومع ذلك» فإن هذه العلاقة قد تغيرت منذ فترة طويلة؛ فبوجه عام 
ينبغي أن تكون هناك علاقة وثيقة لتبادل المعلومات والمتطلبات المشتركة بين عمليات 
تشغيل تقنية المعلومات وعمليات تشغيل الأعمال. وينبغي على مدير المؤسسة فهم 
الاحتياجات والمتطلبات اللازمة لتبادل المعلومات بين الطرفين. فتقنية المعلومات لديها 
مسئوليات تجاة المجالات الأخرى المرتبطة بالعملية التي يتم تدقيقها من قبل أو من 
خلال إرشادات التدقيق المعتمدة: التي يتم قياسها من خلال سلسلة من القياسات 
والأنشطة الخاصة بمؤشر الأداء» التي يتم تفعيلها من خلال أهداف النشاط. كل ذلك 
أصبح جزءاً لا يتجزأ من كوبت الذي يعد إطاراً لحوكمة وضبط تقنية المعلومات ويحدد 
أهداف أفضل الممارسات والحوكمة والرقابة الداخلية لكل عملية من عمليات تقنية 
المعلومات والأعمال. 

فبالإضافة إلى إطار الرقابة الداخلية 0050 ومتطلبات الضوابط الداخلية لقانون 
ساربنز أوكسلي ×50 يقدم هذا الفصل الإصدار الخامس والجديد لكوبت. وقد يتساءل 
أحد المسؤولين التنفيذيين للمؤسسة قائلاً: "أعتقد أنني أفهم بعض القواعد الرئيسية لقانون 
ساربنز أوكسلي <50: وأن مؤسستي تقوم باستخدام إطار الرقابة الداخلية 0050؟ 
فلماذا يجب علي الاهتمام بهذا الشيء المسمى كوبت واعتماده كإطار آخر؟" إن إجابتنا 
عن هذا التساؤل هي أن كوبت نوق انها دكا ل NEYE‏ سريف ووصف 
العمليات التي تركز على حوكمة تقنية المعلومات بصورة أكثر من الإطار التقليدي للرقابة 
الداخلية 0050. في هذه الأيام تعتبر المعلومات والعمليات الداعمة لتقنية ا لمعلومات 
هي بالفعل الأصول الأكثر أهمية وقيمة بالنسبة لجميع المؤسسات. وتقع على عاتق الإدارة 
مسؤولية كبيرة وهي الحفاظ على الأصول الداعمة لتقنية ا معلومات» متضمناً ذلك النظم 
الآلية. ويحتاج المسؤول التنفيذي في المؤسسة هذه الأيام إلى فهم هذه العمليات ال مرتبطة 
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بالمعلومات والضوابط الداعمة لها. وتهتم هذه التركيبة بفاعلية وكفاءة جميع الموارد 
والعمليات والمتطلبات الشاملة لأعمال تقنية المعلومات الخاصة بها. 

يقر الإطار كوبت بأن المعلومات يجب أن تكون أحد الموارد الرئيسية لجميع المؤسسات» 
حيث إن هناك اعتمادية هائلة على التقنية طيلة دورة حياة المعلومات بالكامل. حيث 
تنتشر تقنية المعلومات والتقنيات المرتبطة بها في ا مؤسسات» وهي بحاجة إلى أن تُخكم 
وتدار بطريقة شموليةء مع أخذ كامل المسؤولية المتعلقة بجميع مجالات الأعمال ومهام 
تقنية المعلومات بصورة تامة (من النهاية إلى النهاية). فمن خلال التنفيذ الفعال لإرشادات 
الإطار كوبت. يجب على المؤسسة أن تحقق المزيد من: 

٠‏ إيجاد القيمة من خلال تقنية المعلومات المؤسسية. 

٠‏ رضا مستخدمي الأعمال عن الأعمال والخدمات التي تقدمها تقنية المعلومات. 

٠‏ الالتزام بالقوانين واللوائح والسياسات ذات العلاقة. 

وكما ذكرناء فقد استمر تطوير وتحسنن الإطار كوبت على مر السنين. وقد اعتمدنا 
في تعليقاتنا في هذا الفصل ف المقام الأول على الإصدار الخامس الجديد الذي كان في 
مسودتة النهائية أثناء القيام بتأليف هذا الكتاب. كما سنقوم أيضاً بتضمين بعض المراجع 
التي تشر إلى الإصدار السابق للإطار كوبت - الإصدار ١ر٤‏ - والمعترف به على نحو جيد. 
إن الشمكة الجديدة كوت +6 (5:0 66811) ناکرا السايقةة كما 
أنها توفر دعماً وإرشادات ممتازة لتحسين عمليات حوكمة تقنية ا معلومات: ورغم أنه قد 
تكون هناك بعض التعديلات النهائية عندما يتم إطلاق الإصدار الخامس بشكل رسمي» 
فإن العديد من الأوصاف التي استخدمناها للإطار كوبت توحي بأنه سيتم إطلاق الإصدار 
الجديد والنهائي ا واستناداً إلى مبادئ كوبت الخاصة بحوكمة تقنية المعلومات 
وا موضحة في الشكل التوضيحي .)١1-90(‏ فإن الأقسام التالية سوف تقدم مستوى را 
ونظرة تنفيذية عامة لكوبتء ولاذا يعد هذا الإطار من الأدوات الهامة في حوكمة تقنية 
المعلومات. 
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الفصل الخامس 


المبدأ الأول لكوبت: إنشاء إطار متكامل لبنية تقنية معلومات: 

تصف البنية المعمارية كيف نقوم ببناء المقر الرئيسي الخاص مكتبنا أو النمط المستخدم 
في بنائه» إلا أنها هذه الأيام تستخدم غالباً للإشارة أيضاً إلى الاختيارات التقنية لبنية تقنية 
المعلومات في المؤسسة. فعلى سبيل المثال. عندما تحولت إدارت تقنية المعلومات من نظم 
الحاسبات المركزية القديمة التي كانت موجودة منذ عدة سنوات إلى الشبكات التي تحتو 
على خوادم أصغر حجماًء فقد أعلنت إدارة تقنية ا معلومات في المؤسسة بأنها اعتمدت 
وطبقت البنية التي تدعى "العميل - الخادم". وتستخدم إدارات تقنية المعلومات مصطلح 
بنية أو معمارية النظم لتشير إلى الشكل العام للأجهزة المادية أو البرمجيات الخاصة هوارد 
تقنية المعلومات لديها. يمتلك كوبت أيضا البنية أو المعمارية الخاصة به؛ ومع ذلكء فإن 
النسحة المنشورة الحالية لبنية كوبت (كوبت 0,0) قد تخيف غير المتخصصين في تقنية 
المعلومات بسبب تعقيدية الرسم التخطيطي للإطار في مسودته الحالية. الشكل التوضيحي 
(0-؟) عبارة عن رسم تخطيطي مبسط للكونات البنية المعمارية الخاصة بالإصدار الخامس 
لكوبت (كوبت 0,۰). 


وبالرجوع إلى معمارية كوبت والعودة إلى خطوات بدايتهء نجد أن المبدأ ا مهم هنا 
هو أن عمليات كوبت والعمليات الأخرى التي تخص حوكمة تقنية المعلومات تكون 
مدفوعة باحتياجات أصحاب المصلحة بدءاً من الإدارة العليا التي تأمل في تحسين 
عمليات حوكمة تقنية المعلومات. والتي رها تكون من خلال الإدارة المحلية لتقنية 
المعلومات التي ترغب هي الأخرى في تحسين عمليات محددة في تطبيقاتها. ويكون 
أصحاب المصالح عادة عبارة عن مجموعات كبيرة ومختلفة يتشاركون ويختلفون أحياناً 
في بعض الاهتمامات والأمور التي تتعلق بعمليات حوكمة تقنية المعلومات في المؤسسة. 
ويتم تقديم هذه الاهتمامات أو الاحتياجات إلى العمليات المعتمدة لكوبتء مع التركيز 
على أهداف حوكمة وقيمة تقنية المعلومات. أضف إلى ذلك أن كوبت لا بمكن الاعتماد 
عليه بمفرده ‏ إذ لا بد من تنسيق هذه الاحتياجات مع المعايير والأطر والعمليات الأخرى 
الموجودة في المؤسسة. 
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إطار كوبت ومعهد حوكمة تقنية المعلومات 


وكما هو موضح في الشكل التوضيحي (3-0): فإن هذه الاحتياجات تتحقق من خلال 
العناصر التي يطلق عليها كوبت اسم "عناص التمكين'» وهي عبارة عن سلسلة من 
العمليات المنفصلة والمترابطة والتي سنتطرق إليها لاحقا في هذا الفصل. والغرض من 
عناصر التمكين هذه هو - كما يشير إليه الاسم - تنفيذ وتطبيق العمليات الخاصة بنظم 
حوكمة وإدارة تقنية المعلومات المؤسسية. وقد تم تعريف عناصر التمكين بشكل موسع 
على أنها عمليات أو آليات محددة, أو أي شيء يمكن أن يساعد في تحقيق أهداف الحوكمة 
المؤسسية. ويشمل ذلك موارد كا معلومات والأفراد. يحدد إطار كوبت 0,٠‏ سبع فئات من 
عناصر التمكين هي: 

-١‏ العمليات 

۲- اممبادئ والسياسات. 

۳- الهياكل التنظيمية. 

ع- المهارات والكفاءات. 

ه- الثقافة والسلوك. 

1- القدرات الخدمية. 


۷- العلومات. 
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الفصل الخامس 
شكل توضيحي (7-0) 
البنية العامة المبسطة لكوبت 0 


إرشادات |إهداف الحوكمة: 
را کوبت الحالية |الووائد والمخاطرا أاختياجات | 
الأخرى ا والموارد صنت 





تتفاعل هذه العناصر التمكينية معاً بطريقة منتظمةء وهذا يعني أن نظام الحوكمة 
والإدارة لا يمكن أن ينجح إلا إذا تم تناول جميع عناصر التمكين والتعامل معها وفهم 
التفاعلات الرئيسية الخاصة بها. وسنقوم لاحقاً في هذا الفصل بمناقشة عناصر التمكين 
الخاصة بكوبت. 

بعد ذلك ستقوم عناصر التمكين المستخدمة بتوفير الدعم اللازم لقاعدة البيانات 
ا معرفية لكوبت. والتي تتضمن ال مواد الإرشادية الحالية والهياكل الخاصة بالأنشطة 
المستقبلية. وسيسهم كل ذلك في تقديم الدعم المناسب لتطبيق جميع عمليات الإطار 
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إطار كوبت ومعهد حوكمة تقنية المعلومات 


كوبت والمدعومة أيضا بواسطة مجموعة من الإرشادات المتعلقة بالمنتجات والإرشادات 
المرجعية. إن فكرة البنية المعمارية لكوبت أو الفائدة المرجوة منها هي دعم أهداف إطار 
العمل من خلال تزويد جميع أصحاب المصلحة بالإرشادات الأكثر اكتمالاً وحداثة. وهي 
تتعلق بحوكمة وإدارة تقنية المعلومات المؤسسية. ولتحقيق هذه الفائدة: فإن البنية 
المعمارية لكوبت تضم مجموعة واسعة من المكونات الآلية والمكونات المتعلقة بالبيانات» 
مثل المواد الإرشادية التي تحدثنا عنها في فصول أخرى. وسيتم لاحقاً في هذا الفصل مناقشة 
الغرض من هذه العناصر التمكينية ووظيفتها بمزيد من التفاصيل. 

كوبت هو مجموعة من المواد التوجيهية التي تدعم العناصر الرئيسية للإرشادات 
الخاصة بحوكمة تقنية ا معلومات» والتي تتضمن العديد من المفاهيم وا موضوعات المتعلقة 
بالتقنيات الخاصة بحوكمة وإدارة المؤسسة. لقد قامت المؤسسات بمختلف أحجامها وفي 
جميع أنحاء العام بتطبيق كوبت بنسخته السابقة .6,١‏ أما الإصدار الجديد لكوبت (كوبت 
)١‏ فإنه يقدم تحسينات للحد من المخاطر المتعلقة بتقنية المعلومات وزيادة الثقة في 
المعلومات التي تقدمها تقنية ا معلومات» لتمكن من تطوير سياسة واضحة وممارسات جيدة 
لإدارة تقنية ال معلومات» وزيادة القيمة المكتسبة من تقنية المعلومات وإدارة الامتثال. 


المبدأ الثاني لكوبت: دوافع تحقيق قيمة لأصحاب المصلحة: 

يتحقق تركيز عمل كوبت من خلال تحديد جميع أصحاب المصلحة واحتياجاتهم 
وتحديد الكيفية التي يرتبطون بها مع قرارات وأنشطة الحوكمة والإدارة. ولنا أن نتصور أن 
أصحاب المصلحة المستفيدين من عملية تقنية المعلومات وعمليات تشغيلها منقسمون إلى 
مجموعتين: داخليين وخارجيين. وإن عمليات تشغيل وعمليات تقنية المعلومات منتشرة 
بشكل كبيرء وإن مجموعة أصحاب المصالح الداخليين الذين تم تحديدهم من خلال كوبت 
تشمل أعضاء مجلس الإدارة الرئيس التنفيذي ©0580 المدير المالي (070©). ال مدير التنفيذي 
للمعلومات (010) ومديري الأعمال التنفيذيينء وأصحاب عمليات الأعمالء ومديري 
الأعمال» ومديري المخاطرء ومديري الأمن ومديري الخدمات» ومديري الوارد البشرية 
(1۸) والمدققين الداخليين ومستخدمي تقنية المعلومات» ومديري عمليات تشغيل تقنية 
المعلومات» وغيرهم الكثير. وسيكون لكل من هؤلاء توقعات ومواقف مختلفة حول القضايا 
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الخاصة بحوكمة تقنية المعلومات. والشكل التوضيحى )١-0(‏ يلخص بعض الاحتياجات 
التمطية'لأمجان ابلضلحة الداخليين وفقا للإظار كوت 
شكل توضيحي (0-؟) 
الاحتياجات القياسية لأصحاب المصلحة الداخليين طبقاً لكوبت 
٠‏ في ضوء أمن تقنية ا معلومات» واممخاوف المتعلقة بالخصوصيةء وغيرها من القضاياء هل قمنا بتناول 
جميع المخاطر ذات الصلة بتقنية المعلومات؟ 
٠‏ هل نقوم بتنفيذ عمليات تشغيل فعالة ومرنة لتقنية المعلومات؟ 
٠‏ كيف هكننا ضبط تكاليف تقنية المعلومات بشكل أفضل؟ 
٠‏ كيف يمكننا استخدام موارد تقنية المعلومات بالأسلوب الأكثر فاعلية وكفاءة؟ 
٠‏ ما خياراتنا الأكثر فاعلية وكفاءة لتوريد معدات تقنية ال معلومات؟ 
٠‏ هل لدي ما يكفي من الأفراد لتشغيل وإدارة تقنية المعلومات» وكيف يمكنني تطوير والحفاظ على 
مهاراتهم وإدارة أدائهم؟ 
٠‏ كيف نحصل على ضمانات بشأن نتائج وأداء عمليات تقنية المعلومات؟ 
٠‏ هل المعلومات التي نقوم بمعالجتها مؤمنة بشكل جيد؟ 
٠‏ كيف لنا أن نقوم بتحسين مرونة الأعمال من خلال بيئة تقنية معلومات أكثر مرونة؟ 
٠‏ هل جميع مستويات الإدارة وعمليات التشغيل على بصيرة ها تقوم به تقنية المعلومات؟ 
٠‏ هل تفشل مشروعات تقنية المعلومات كثيراً في تحقيق ما وعدت به؟ 
٠‏ إلى أي مدى تكون تقنية المعلومات هامة لاستمرارية المؤسسة؟ 
٠‏ كيف لنا أن نعرف أن تقنية المعلومات وعمليات التشغيل ذات الصلة الخاصة بشركاء الأعمال لدينا 
آمنة ويمكن الاعتماد عليها؟ 
» كيف لي أن أعرف أن المؤسسة متوافقة مع القوانين واللوائح المعمول بها؟ 
٠‏ كيف لنا أن نعرف إذا كانت المؤسسة تحافظ على نظام فعال للرقابة الداخلية؟ 
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إطار كوبت ومعهد حوكمة تقنية المعلومات 


كما تضم مجموعة أصحاب المصالح الخارجيين كلا من شركاء العمل والموردين والمساهمين 
والجهات التنظيمية أو التشريعية (الحكومة) والمستخدمين الخارجيين والعملاء ومنظمات المعايير 
القياسية وا مدققين الخارجيين والاستشاريين والعديد من الجهات الأخرى المعنية بعمليات وموارد 
تقنية المعلومات. وتشمل احتياجات أصحاب المصلحة الخارجيين أسئلة مثل: 


٠‏ كيف مكنني معرفة ما إذا كانت عمليات شريكي في العمل آمنة ويمكن الاعتماد عليها؟ 


٠‏ كيف يمكنني معرفة ما إذا كانت هذه المؤسسة ووحداتها التنظيمية متوافقة مع القواعد واللوائح 
المعمول بها؟ 
٠‏ كيف لي أن أعرف ما إذا كانت المؤسسة تحافظ على نظام فعال للرقابة الداخلية؟ 





هناك عدة دوافع يمكن أن تؤثر في احتياجات أصحاب المصلحة منها التغييرات التي تطرأ 
على الإستراتيجية» والأعمالء والبيئة التنظيمية» والتطورات التقنية. وتتجسد احتياجات 
أصحاب المصلحة هذه في سلسلة من التوقعات أو المخاوف أو المتطلبات المحتملة؛ كل هذه 
القضايا ترتبط بواحد أو أكثر من أهداف الحوكمة الثلاثة العامة الخاصة بكوبت» وهي: 
تحقيق الفوائد وموازنة المخاطر وتحسين التكلفة. 

إن الغرض من وجود المؤسسات هو إيجاد قيمة لأصحاب المصلحة لديها. ومن ثم فإن 
هدف الحوكمة لأية مؤسسة - تجارية أو غير تجارية - هو إيجاد القيمة وتحقيق فوائد 
بتكلفة مثالية للموارد مع الحد من المخاطر. فالمؤسسات لديها العديد من أصحاب المصلحة 
الداخليين والخارجبين. و"إيجاد القيمة" يعني أشياء مختلفة - وأحياناً متعارضة - لكل منهم. 
فالحوكمة عبارة عن التفاوض واتخاذ القرارات بشأن تقديم الحلول والتوفيق بين المصالح 
المختلفة لأصحاب المصلحة فيما يخص تحقيق هذه القيمة. ومن ثم فإنه يجب أن يقوم 
نظام حوكمة تقنية ا معلومات بالنظر إلى جميع أصحاب المصلحة عند القيام بعمل تقييمات 
واتخاذ قرارات بشأن الفوائد والموارد وا مخاطر. إن السؤال الذي يمكنء بل وينبغي أن يطرح 
لكل عنصر من هذه العناصر الخاصة بإيجاد القيمة هو: لمن ستكون الفوائد والمخاطر؟ وما 
الموارد المطلوبة لتقنية المعلومات؟ 
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الفصل الخامس 


المبداً الثالث لكوبت: التركيز على سياق الأعمال: 

كما ذكرنا في تعليقاتنا السابقةء بدأ كوبت في الأساس أداة لتدقيق تقنية المعلومات» 
فهو عبارة عن مجموعة محسنة من العمليات المُوصَى بها لمراجعة وتقييم إجراءات الرقابة 
الداخلية الخاصة بتقنية المعلومات. كيف تغيرت الأشياء على مر السنين؟ ففي الوقت 
الراهنء يقوم الإطار كوبت بتوفير مجموعة قوية من المواد الإرشادية التي تساعد المؤسسة 
على تحسين عمليات حوكمة تقنية المعلومات: فا مبدأ الأساسي لكوبت هو التركيز على سياق 
الأعمال. 

يؤكد المبدأ الرئيسي الثالث لكوبت أن الغرض من وجود المؤسسات هو خلق أو إيجاد 
قيمة لأصحاب المصلحة. وهناك ثلاثة أهداف لقيمة الحوكمة المعرفة من قبل كوبت هي: 

-١‏ تحقيق الفوائد. 

"- تحسين المخاطر. 

۳- تحسين الموارد. 

يعمل كوبت على ربط كل هدف من هذه الأهداف الثلاثة بالأهداف المالية والأهداف 
المتعلقة بخدمة العملاء والأهداف الداخلية في ا مؤسسة. يقوم كوبت أيضاً بتحديد 
مجموعة من الأهداف المالية للمؤسسة. والتي تم تقسيمها إلى عدة فئات من الأهداف 
المؤسسية أي الأهداف المالية» وأهداف العملاء والأغداف الداخليةء والأهداف الخاصة 
بالتعلم والنمو. الشكل التوضيحي (6-0) يعرض ملخصا لأهداف الحوكمة في كوبت مقابل 
الأهداف المالية للمؤسسة من حيث كونها علاقة رئيسة أو ثانوية مع أهداف قيمة الحوكمة 
المعرفة من قبل كوبت. 
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شكل توضيحي 6-0 


ملخص أهداف الحوكمة في كوبت مقابل الأهداف المؤسسية 


أهداف اللؤسسة 


.١‏ القيمة المتحققة لأصحاب المصلحة من استثمارات 
الأعمال 


ع. التوافق مع القوانين والقواعد التنظيمية الخارجية 


.. ثقافة خدمية موجهة نحو العميل 


۷. استمرارية خدمات الأعمال وإتاحتها فقس 


العميل | ۸. مرونة الاستجابة للتغيرات في بيئة العمل 


4. اتخاذ القرار الإستراتيجي استناداً إلى المعلومات 
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أما الشكل التوضيحي (0-0) فما هو إلا وثيقة أكثر تفصيلاً للغرض من الأهداف المالية. 
حيث تُظهر المواد الأصلية المنشورة لكوبت غلاقآت أكثر تفصيلاً لكل هدق من الأهداف 
الثلاثة للحوكمة» كل واحد منها مقابل الأهداف المؤسسية. 

هذه المقابلة التفصيلية تساعد على وصف اللبدأ الثالث لكوبت الذي يركز على سياق 
الأعمال» ويتعين على هذه العلاقات أن تساعد الإدارة على مختلف مستوياتها وكذلك أعضاء 
طاقم العمل على فهم العلاقات والروابط الموجودة بين عمليات تقنية المعلومات وكل من 
أنشطة الأعمال الداخلية والخارجية على نحو أفضل. 

شكل توضيحي (0-0) 
مقابلة الأهداف المالية التفصيلية للحوكمة في كوبت مع الأهداف اللؤسسية 


الأهداف المالية للمؤسسة 


أهداف تقنية المعلومات 


*. إدارة مخاطر ث ث ر 
الأعمال (وقاية الأصول) 
ث ر 
القوانين والقواعد 
التنظيمية الخارجية 


اشغافية للاية ]| | || 
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۷. استمرارية خدمة 
الأعمال وإتاحتها 

۸. مرونة الاستجابة 
للتغيرات في بيئة العمل 
4. اتخاذ القرار 


الإستراتيجي استناداً 


. إدارة برامج 
.٤‏ الإنتاجية 
التشغيلية وإنتاجية 
طاقم العمل 

0. التوافق مع 
السياسات الداخلية 


لش 
مهارة ومتحمسون 
المنتجات والأعمال 
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المبدأ الرابع لكوبت: عناصر تمكين إدارة المخاطر والحوكمة: 
كما هو واضح في الوصف الموج ز الذي قدمناه للبنية المعمارية لكوبت» فإن عناصر 
التمكين تعد من العناصر الرئيسية في عملية الحوكمة الخاصة بكوبت. فهي عبارة عن 
العناصر الملموسة وغير الملموسة التي تجعل شيئاً ما يعملء وفي خالا فزن هنذا الشيء 
هو حوكمة وإدارة تقنية ا معلومات في المؤسسة. تُظهر البنية العامة المبسطة "لكوبت "0,٠‏ 
في الشكل التوضيحي )٠-٠(‏ وظيفة تسمى عناصر التمكين في وسط العملية الشاملة» التي 
لابد أن تتبناها المؤسسة لتتمكن من حوكمة تقنية المعلومات. 
وقد حدد كوبت سبعة أصناف أو أنواع مختلفة من عناصر التمكين. كما هو موضح 
بصورة منفصلة في الشكل التوضيحي (5-0). فلكي تحقق المؤسسة أهدافها الرئيسية فإنه 
يتوجب عليها أن تدرك دائماً بأنها تقوم بإدارة مجموعة مترابطة من عناصر التمكين التي 
تمتلكها. ويعرض الشكل الخاص بالبنية العامة سبع فئات من عناصر التمكين المترابطة. 
فعناصر التمكين التي حددها كوبت هي: 
-١‏ العمليات: هي تلك المجموعات المنظمة من الممارسات والأنشطة التي تحقق أهدافاً 
معينة وتنتج مجموعة من المخرجات لدعم الأهداف الشاملة المتعلقة بتقنية ا معلومات. 
؟- الثقافة والاخلاقيات والسلوك: إن الثقافة القوية للمؤسسة إلى جانب التركيز على 
أخلاقيات العمل وسلوكيات أصحاب المصلحة الداعمة لتلك القيم يتم التقليل من شأنها 
غالبا إلا أنها من عوامل التمكين الهامة لنجاح أنشطة الحوكمة والإدارة. 
-٣‏ الهياكل التنظيمية: تعتبر الأنشطة والسياسات والترتيبات التنظيمية بمثابة الوسائل 
الرئيسية لصنع القرار في المنظمة. 
- المعلومات: تكون مهمة نظراً لأنها العنصر المنتتشر في جميع أنحاء أي منظمة, 
فابلعلومات ضرورية للحفاظ على تشغيل المنظمة وحوكمتها بشكل جيد. ولكن على 
المستوى التشغيلي فإن المعلومات تكون غالباً هي المنتج الرئيسي للمؤسسة نفسها. 
5- المبادئ والسياسات: تعد عناصر التمكين هذه وسيلة لترجمة السلوكيات المرغوب فيها 
إلى إرشادات عملية للإدارة اليومية. 
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5- المهارات والكفاءات: وترتبط هذه السمات بالعناصر البشرية وهي ضرورية لإتمام 
جميع النشاطات بنجاح واتخاذ القرارات الصحيحة. 
۷ القدرات الخدمية: يشتمل هذا العنصر التمكيني على البنية التحتية والتقنية والتطبيقات 
التي توفر للمؤسسة معالجة المعلومات وتقديم الخدمات. 
لا يمكن تواجد أي عنصر من عناصر التمكين السبع تلك بشكل منفرد فجميعها بحاجة 
إلى مدخلات من عناصر تمكين أخرى والتي حددها كوبت لكي تكون فعالة بشكل كامل. 
فمثلاً نجد أن العمليات تحتاج إلى عنصر تمكين ا معلومات» والهياكل التنظيمية تحتاج إلى 
عنصر تمكين الناس» والناس بحاجة إلى المهارات والسلوك. فعناصر التمكين توفر المخرجات 
لصالح عناصر التمكين الأخرى (على سبيل اللشالء العمليات توفر المعلومات والمهارات 
والسلوك). ولكل من هذه العناصر التمكينية السبعة التي عرفها كوبت وال موضحة قي 
الشكل التوضيحي (1-0) خمسة مكونات نوعية هي: 
-١‏ أصحاب المصلحة لعنصر التمكين: على الرغم من أننا قد تحدثنا عن أهمية أصحاب 
المصالح باعتبارها عوامل محركة لعملية كوبت بشكل كامل» فإن لكل عنصر من عناصر 
التمكين السبعة أصحاب المصلحة الداخليين والخارجيين الخاصين به . 


(*) الأطراف التي تلعب دوراً نشطاً و/ أو لديهم اهتمام بهذا العنصر (المترجم). 
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شكل توضيحي 0-6 


أصناف أو أنواع عناصر التمكين في كويت 






العمليات والمعلومات 


المهارات والكفاءات 





المبادئ والسياسات 


فللعمليات أصحاب مصالح داخليين وخارجيين» ولكل منهم أدواره الخاصةء لذا يجب 
توثيق أصحاب المصلحة ومستويات مسئولياتهم بطريقة تعبر عن سمات العملية. 

؟- الأهداف والمقاييس المعيارية'": ينبغي تحديد أهداف عنصر التمكين على أنها 
بيان يصف النتيجة المأمولة من العملية. فيل ككون عدن الع عازه GE RS‏ 
«Artifacts‏ أو تغيراً کا على حالة العملية: أو فاا کا في إمكانيات عمليات أخرى. 
وهي تمثل ا من أهداف العملية التي تدعم الأهداف المتعلقة بتقنية المعلومات. 
والتي بدورها تدعم أهداف المؤسسة. في كل مستوىء يجب أن تقوم المقاييس المعيارية 
(*) مؤشرات (المترجم). 
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بتعريف وقياس إلى أي مدى تم تحقيق هذه الأهداف. ويمكن تعريف المقاييس المعيارية 
على أنها كيانات قابلة للقياس الكمي وينبغي أن تكون محددة 6182م5: وقابلة للقياس 
©1121 وقابلة للتنفيذ ©1002251]عةء. وذات صلة 12167226 وضمن إطار زمني 
(محددة بوقت) 7إاعدم11. 

ويمكن تصنيف الأهداف بطرق مختلفة تتراوح بين الأهداف الاقتصادية التي تعتبر أكثر 
توجهاً نحو تحقيق الكفاءة (8831600, إلى أن تصل إلى أهداف الجودة, التي تعتبر أكثر 
و نحو تحقيق الفاعلية Effectiveness‏ . 

وبالمثل فإن هناك نوعين من مقايبس العملية: مقاييس الأداء التي لها طابع تنبؤي وهي 
تشير إلى مدى تنفيذ العملية للأنشطة المحددة. ومقاييس النتائج التي تشير إلى حجم أو 
مدى تحقيق العملية لأهدافها والغاية من وجودها. 

۴. دورة حياة عناص التمكين: لا بد من دعم كل من عناصر التمكين تلك بالخطط 
اللازمة لتأسيسه ومن ثم تأي مراحل البناء والاستحواذ والإنشاء والتنفيذ له. وبعد استخدامها 
أو تشغيلهاء فإن عناصر التمكين يجب أن ثراقب ونَقَيّم بشكل دوري مع تحديث الهدف 
أو التخلص منها عند الضرورة. 

.٤‏ الممارسات الجيدة: لا بد من وضع وتحديد الممارسات الداخلية والخارجية 
باستخدام أدوات مثل الإطار كوبت. فهناك مكونات داخلية وخارجية للممارسات الجيدة 
لعناصر التمكينء وكلاهما يشتمل على ممارسات جيدة في المهارات البشرية» متضمناً ذلك 
المتطلبات المهارية الموضوعية لكل دور من الأدوار التي يلعبها أصحاب المصالح المختلفين. 
ويمكن وصف ذلك من خلال التوصيفات الوظيفية المحددة لمستويات المهارات المختلفة 
باختلاف فتئات أو أنواع المهارات. فأنواع أو فئات المهارات تعتمد على الأنشطة المرتبطة 
بتقنية المعلومات كإدارة شبكة الاتصالات أو تحليل الأعمال. 

0. سمات عناصر التمكين: لكل عنصر من عناصر التمكين هذه بعض السمات الفريدة 
التي تميزه عن غيره من العناصر التمكينية الأخرى ال موجودة في املؤسسة. 
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"عنصر التمكين" هو مصطلح أو مفهوم م يكن شائعاً في عمليات تشغيل وعمليات 
الأعمال قبل عدة سنوات. وقد اشتهر هذا المصطلح بداية من خلال الأوراق العلمية التي 
تتحدث عن قضايا تقنية المعلومات. وعلينا أن نتذكر أن عنصر التمكين هو أداة أو عملية 
توفر القدرات والكفاءات القابلة للقياس والتي من شأنها أن:تحسن عمليات الأعمال. بذلا 
من أن تقوم فقط بأتمتها. وهي عبارة عن قدرات وقوى وموارد تسهم في نجاح الكيان أو 
النشاط أو المشروع. إنها مفاهيم تستحق أن تضاف إلى قاموس مصطلحات أعمال المرء. 


المبدأ الخامس لكوبت: هياكل قياس أداء الحوكمة والإدارة: 

يركز المبدأ الرئيسي والأخير لكوبت على أهمية المفاهيم المختلفة إلا أنها مترابطة لكل 
من الإدارة والحوكمة في المؤسسة الموجهة نحو تقنية المعلومات. فقد ميز الإطار كوبت 
٠‏ بشكل واضح وجلي بين الحوكمة والإدارة. فكلاهما يتضمن أنواعاً مختلفة من الأنشطة 
ويتطلب هياكل تنظيمية مختلفة ويخدم أغراضاً مختلفة. فهذا التمييز يعد أساسياً بالنسبة 
لنظرة كوبت للحوكمة والادارة. 

إننا ننسى كثيراً أن الحوكمة ع01:612322ع: ذلك المصطلح الشائع في عام الأعمال اليوم» 
مشتقة من الفعل اليوناني الذي يعنى "التوجيه" "۲٠ء‏ 0]". حيث يشير نظام الحوكمة 
إلى كل الوسائل والآليات التي تمكن العديد من أصحاب المصلحة في المؤسسة من أن 
يكون لهم كلمة مؤثرة في تقييم الظروف والخيارات؛ تحديد الاتجاه؛ متابعة التوافق والأداء 
والتقدم المحرز مقابل الخطط الموضوعة لتلبية أهداف مؤسسية محددة. وكل هذا يشير 
إلى مجموعة كبيرة من الأنشطة التوجيهية. وتشتمل الوسائل والآليات هنا على أطر العمل 
والمبادئ والسياسات والرعاية والهياكل وآليات صنع القرار إلى جانب الأدوار والمسئوليات 
والعمليات وا ممارسات اللازمة لتحديد الاتجاه ومتابعة الامتثال والأداء الذي يتسق مع 
الأهداف الغاملة.. :هدَاتهو التعريق: الكبير والشامل توعا ما لحوكمة تقنية اللكلومات: إلا 
أن الفصول التالية سوف تناقش القضايا الأخرى التي تدعم هذا التعريف. وعلينا أن نتذكر 
اما أنه ى معظم اللؤسسات» تكون الحوكمة مسؤولية مجلس الإدارة:وتعت قادة الزئيس 
التنفيذي 0150© ورئيس مجلس الإدارة. 
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يتم غالباً تمييز الإدارة عن الحوكمة» فالإدارة تستلزم الاستخدام العادل للموارد والناس 
والعمليات والممارسات وغير ذلك لتحقيق الغاية المرجوة. فهي الوسيلة أو الأداة التي بها 
يحقق كيان (أو هيئة) الحوكمة نتيجة أو هدفاً. فالإدارة مسئولة عن التنفيذ ضمن الاتجاه 
الذي تم تحديده أو وضعه من قبل هيئة أو وحدة التوجية. فالإدارة تتعلق بالتخطيط والبناء 
والتنظيم ومراقبة الأنشطة التشغيلية لتتماشى مع الاتجاه الموضوع من قبل هيئة الحوكمة. 

تؤكد الإرشادات الخاصة بكوبت أن الحوكمة والإدارة هما نوعان مختلفان من الأنشطةء 
ولكل منهما مسؤوليات مختلفة. ومع ذلك وبالنظر إلى دور الحوكمة - في التقييم والتوجيه 
والمراقبة - فإن هناك مجموعة من التفاعلات المتبادلة المطلوبة بين الحوكمة والإدارة 
للحصول على نظام حوكمة ذي كفاءة وفاعلية. إذ يتم ربط هذه التفاعلات» باستخدام 
البنية المعمارية لعناصر التمكينء بعمليات محددة لمراجعة الضوابط الداخليةء التي تعد 
نقطة القوة الحقيقية لإطار العمل كوبت. 


مطابقة عمليات كوبت مع أهداف تقنية المعلومات من خلال الجمع بينهما: 

يحدد إطار العمل كوبت ومواده الداعمة المنشورة مجموعة رفيعة المستوى من 
العمليات التى تحدد اتجاه أهداف أعمال المؤسسة وموارد تقنية المعلومات. وهى التى 
صمت عيضا لتناسب إلى حد ما جميع أحجام المؤسسات وأنواعهاء وقد تم تضنيف هتن 
العمليات إلى مجموعتين: الأولى باعتبارها عمليات لحوكمة تقنية المعلومات المؤسسيةء 
والثانية هي مجموعة منفصلة من العمليات التي تقوم بتقديم الإرشادات الخاصة بإدارة 
تقنية ال معلومات ال مؤسسية. E GIR ANTE‏ 
الإجراءات أو العمليات الأكثر تفصيلا. فبالنسبة لإدارة تقنية ا معلومات في ا مؤسسةء هناك 
مجموعات من العمليات أو الإجراءات للقيام بالتالي: 

٠‏ التوفيق والتخطيط والتنظيم. 

« البناء والاستحواذ والتنفيذ. 

٠‏ تقديم الخدمة والصيانة والدعم. 

٠‏ التقييم والتوجيه والمتابعة. 
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كل مجموعنة من هذه المجموغات تنضمن بعد ذلك غملیات أكثر تحديدا في كوبت. 
فبالنسبة لمجموعة البناء 811110 والاستحواذ 401111 والتنفيذ 16177614م122 فإن إرشادات 
كوبت تكون منظمة على شكل فئات لتحقيق أهداف الرقابة الداخلية باستخدام أسماء 
الترميز التالية المعرفة من قبل كوبت: 

1 إدارة البرامج والمشروعات 

2 - تحديد المتطلبات 

3 - تعريف وبناء الحلول 

4 - إدارة الإتاحة والسعة 

5 - تمكين التغيير التنظيمي 

6 - إدارة التغييرات 

7 - قبول وانتقال التغييرات 

8 - إدارة المعرفة 

وقد تم تعريف مجموعة مشابهة من فئات أهداف الرقابة الخاصة بالعملية لكل فئة 
من فئات العملية المذكورة. إن الغرض من عمليات الرقابة التفصيليةء وإن كانت محددة 
إلى حد ماء هو المساعدة في دراسة الحالة المؤسسية 0256 8101512685 لتنفيذ وتحسين 
حوكمة وإدارة تقنية المعلومات. هدفها هو التعرف على كل نقطة من نقاط الأم أو النقاط 
الحرجة الأساسية والأحداث المحفزةء وذلك من خلال الهدف العام لخلق البيئة المناسبة 
لعمليات تشغيل تقنية المعلومات وتطبيقاتها. 

لقد قام كوبت بتعريف مجموعة مكونة من ١7‏ هدفاً مرتبطاً بتقنية المعلومات هكن 
مناظرتها مع كل عملية من هذه العمليات. وتنقسم هذه الأهداف أيضا إلى فئات أخرى 
معنونة ب "الشركة" و"العميل و"داخليا" و"التعلم والنمو". وقد تتغير هذه العناوين 
عندما يتحول كوبت من مسودة النسخة النهائية الحاليةء ففئة مثل "الشركة" لا تعني أن 
الإرشادات تنطبق فقط على الشركات العامةء بل على المؤسسات بأكلمها. 
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الشكل التوضيحي (0-) يوضح المقابلة أو المناظرة بين أهداف كوبت المتعلقة بتقنية 
ال معلومات والعوامل الخاصة بعمليتين من عمليات كوبت هما: (التقييم والتوجية 
وامتابعة) evaluate, direct, and monitor (EDM)‏ و(تقديم الخدمة والصيانة والدعم) 
service, and support (DSS)‏ ,0611761. فهذه المناظرة توضح كيف يتم دعم كل هدف 
من الأهداف المتعلقة بتقنية المعلومات من قبل إحدى عمليات كوبت. كما هو مبين 
بالشكل التوضيحي )۷-١(‏ والذي تم التعبير عنه باستخدم مقياس معين حيث إن: 

٠‏ ر ترمز إلى علاقة رئيسية بين الهدف الخاص بتقنية المعلومات وعملية کوبت ا مرتبطة 

فا6ا تكو ن تاف علاقة امه خت تكو عملية كو اللضهمة اغفا ركيسيا لفق 
هدف تقنية المعلومات. 


و«ث ترمز إلى ثانوي ذلك عندما لاتزال هناك علاقة أقل أهمية وتكون عملية كوبت 
ذاعم ثانوياً لهدف تقنية المعلومات: 

٠‏ فراغ عندما لا توجد في هذه الحالة علاقة قوية. 

على سبيل المثال تمتلك عملية كوبت التي يرمز لها بالرمز 10557 والخاصة ب "إدارة 
الأمن" علاقة قوية أو رئيسية مع هدف تقنية المعلومات المدعو أو المسمى "الامتثال ودعم 
القوانين واللوائح التنظيمية" الخاصة بالمؤسسة. العملية 2557 نفسها لها أيضا علاقة 
ثانوية مع العديد من الأهداف الأخرى لتقنية المعلومات مثل الهدف رقم سبعة (۷) 
والخاص بتقديم ادمات فقنية'اللعلؤمات: وفقا لتظلبات الاعمال: 

تؤكد إرشادات كوبت أن الحوكمة والإدارة هما نوعان مختلفان من الأنشطة: لكل منهما 
مسؤولياته المختلفة. ومع ذلكء ونظراً للدور التوجيهي الذي تلعبه الحوكمة - للتقييم 
والتوجيه والمتابعة - فإن هناك مجموعة من التفاعلات التبادلية الضرورية بين الحوكمة 
والإدارة للوصول إلى نظام حوكمة ذي كفاءة وفاعلية. ويتم بعد ذلك الربط بين هذه 
التفاعلات وعمليات محددة في كوبت خاصة بمراجعة الرقابة الداخليةء وذلك باستخدام 
البنية المعمارية لعناصر التمكينء وهو ما يعد القوة الحقيقة للإطار. 
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بالنسبة للعديد من كبار المديرين. قد يبدو إطار العمل كوبت أكثر تفصيلاء وأنه 
يحتوي على مجموعة من الغايات والأهداف المعقدة بعض الشيء. ومن الممكن تحقيق 
الفائدة القصوى من استخدام كوبت فقط إذا تم تبنيه على نحو فعال وتكييفه ليلائم 
البيئة الفريدة لكل مؤسسة. فكل نهج تطبيقي سيكون أيضا بحاجة إلى أن بالج تحديات 
محددة: ا في ذلك إدارة تغيرات الثقافة والسلوك. لقد مس هذا الفصل فقط الهيكل العام 
لكوبت وإصداره الحالي (الاصدار الخامس). 


107 دليل المسئول التنفيذي لحوكمة تقنية ا معلومات 


إطار كوبت ومعهد حوكمة تقنية المعلومات 


شكل توضيحي )۷-٥(‏ 
مثال المقابلة بين أهدف الإطار كوبت وأهداف تقنية المعلومات 
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استخدام كوبت في بيئة قانون ساربينز أوكسلي (×80): 

عندما تم تفعيل قانون ساربنز أوكسلي ×80 للمرة الأولى في الولايات المتحدة: كان 
هناك القليل من الإرشادات حول كيفية تطبيق وإدارة البند ٠٠٤‏ من هذا القانون والخاصة 
بمراجعات الرقابة الداخلية. وقد أشار مجلس الإشراف المحاسبي على الشركات المساهمة 
Company Accounting Oversight Board (PCAOB)‏ عناطن2 » الذي تقدم عرضه 
في الفصل الثاني من هذا الكتاب» إلى أنه كانت لديه النية لوضع بعض المعايير المحددة, إلا 
أنه قد تعمد في البداية ترك المؤسسات والمدققين الخارجيين دون توجيه. ومع التشديد 
المكثف على أنظمة الرقابة الداخلية الرفيعة المستوى لتقنية المعلومات» قامت العديد من 
المؤسسات بتبني الإطار باعتباره إطاراً خاصاً بالرقابة الداخلية على أنه أحد الخيارات التي 
تساعد في تحقيق الامتثال لقانون ساربنز أوكسلي ×0؟. 

قام البند 206 من قانون ساربنز أوكسلي ×50 الخاص بمتطلبات تقييم الرقابة 
الداخلية بتسليط الضوء على النهج القائم على المخاطر لتقييم الضوابط الداخلية مع 
التأكيد على إطار الرقابة الداخلية ©0050 الذي تم الحديث عنه في الفصل الرابع 
من هذا الكتاب. يعد كوبت بمثابة إطار عمل بديل وقوي لتقييم الضوابط الداخلية 
ولاسيما في البيئات التي تركز بشكل مكثف على عمليات وموارد تقنية المعلومات. 
ون وضفيع كل من الرفائنة الدالغلية الخاد يلغنة ا ات الا 6656(7 
وكوبت على أنها أطر عمل متعددة الأبعاد لوصف بيئات الرقابة الداخلية الخاصة 
بكل منهما. فكل منهما يشبه الآخر ولكن مع وجود اختلافات طفيفة في التصنيفات 
والمصطلحاته. الكل التوضيحي :(6-0) يبن المناظرة أو اللقائلة بين الإظار كويت 
ونموذج الرقابة الداخلية (©0050). 
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شكل توضيحي )۸-٥(‏ 
العلاقة بين مكونات C050‏ وأهداف °0811 
أهداف 0811© 
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يمكن استخدام أهداف كوبت» بدءاً من التخطيط والبدء في تنفيذ المشاريع وصولاً 
إلى المتابعة والتقييم لفهم وتقييم الضوابط الداخلية من خلال المكونات الخمسة لإطار 
الرقابة الداخلية 0050. وسواء تم استخدام إطار الرقابة الداخلية 0050 بشكل عام 
آم تم استخدام كوبت» فإن تحليل هذين الإطارين اللذين ينطلق من خلالهما سلسلة من 
العمليات تبدأ من التخطيط إلى إجراء تقييمات المخاطرء حتى نصل إلى تحديد وتوثيق 
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وتقييم الضوابط الداخلية الرئيسية؛ كل ذلك سيساعد المؤسسة على تحقيق الامتثال للبند 
٤‏ من قانون ساربنز أوكسلي <50. أضف إلى ذلك» أنه من خلال الدعم المقدم لكوبت 
من قبل المنظمة المهنية 1۲61 والقبول الدولي الواسع النطاق لهء يعد وثيقة حية يتم 
تحديثها من وقت لآخر. 

في ظل وجود قانون ساربنز أوكسلي <50: والتشديد المتزايد على حوكمة تقنية 
المعلومات» وإدراك مدى أهمية تقنية المعلومات في معظم قرارات الرقابة الداخليةء فقد 
مر كوبت بعدة مراجعات حتى وصل إلى نسخته الحالية الممثلة بالإصدار الخامس الذي 
سيتم إطلاقه قريباً. لقد قام معهد حوكمة تقنية المعلومات الراعي لكوبت بعمل رائع هو 
إصدار مجموعة من المطبوعات التي ترسم علاقة الإطار كوبت مع تلك المعايير الأخرى. 

إن المجموعة الكاملة من مواد أهداف الرقابة في كوبت سوف توفر دعماً قوياً لفريق 
الإدارة الذي يقوم بإجراء مراجعة لتقييم الرقابة الداخلية في ضوء البند ٤٠٤‏ من قانون 
50. وعلى الرغم من أنه يمكن استخدام هذه المفاهيم في أي مجال من مجالات الرقابة 
الداخليةء فإن التركيز هنا فقط على تطبيقات وعمليات تقنية المعلومات. وبالنسبة للعديد 
من المؤسسات فإن فهم وتقييم الرقابة الداخلية المرتبطة بتقنية المعلومات هو المفتاح 
لتحقيق الامتثال لقانون ×50. وعلى الرغم من أن كوبت موجود منذ سنوات عديدة فإنه 
ولفترة طويلة كان الكثير ينظر إليه على أنه مجرد أداة متخصصة لتدقيق تقنية ا معلومات» 
وم يكن يُنظر إليه على أنه يقدم المزيد من المساعدة في أعمال التقييم الأخرى للضوابط 
الداخلية والتدقيق الداخلي بوجه عام. وعلى الرغم من أن تركيز كوبت لا يزال مُنْصَباً على 
تقنية ال معلومات» فإنه يجب على كبار المديرين أن يقوموا باستكشاف هذا الإطار باعتباره 
أداة ممتازة للمساعدة في الامتثال للمتطلبات الحالية والمتطورة لقانون :501 


كوبت في دائرة الضوء: 

ينبغي على جميع كبار المديرين المتخصصين سواء في التشغيل أم في المالية أو تقنية 
المعلومات في المؤسسة أن يكون لديهم على الأقل فهم عالي المستوى لإطار العمل كوبت. 
فهو بوجه خاص أداة مفيدة وهامة لتقييم نظم الرقابة المالية الداخلية والعمليات الشاملة 
للحوكمة في بيئة أكثر توجهاً نحو تقنية المعلومات - وهي البيئة التي نواجهها تقريباً اليوم 
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بشكل دائم. إن قرار استخدام كوبت في عمليات حوكمة تقنية المعلومات لا ينبغي أن يكون 
مؤقتاً أو قراراً فردياً لأحد كبار المديرين. بل ينبغي على كبار المديرين وكذلك المتخصصين 
في الرقابة الداخلية والمدققين الداخليين لديهم في المؤسسة القيام بتطوير الأهداف واتخاذ 
الخطوات اللازمة لتنفيذ إطار العمل كوبت. 

يعد كوبت إطار للرقابة الداخلية وأداة تقييم رائعة - وفي بعض الأحيان رائعة للغاية - 
لوضع عمليات خاصة بحوكمة تقنية المعلومات وتقييم الضوابط الداخلية لها. ولعل أكبر 
عائق يواجه الإدارة العليا التي تحاول استخدام كوبت بشكل كامل هو أن هذا الإطار قد تم 
بناؤه في الأصل ليكون بالمقام الأول أداة لتدقيق تقنية المعلومات. على الرغم من أن انتقال 
رعاية المواد الإرشادية لكوبت من إزاكا إلى 1۲61 قد أدى إلى توسيع جاذبيتها وتركيزهاء 
فإن هناك تركيزاً كثيفاً جداً على تقنية المعلومات في العديد من هذه المواد ا منشورة. ومن 
المؤكد أن هذا يخيف البعض. 

تكمن القوة الحقيقية لكوبت في تركيزه على حوكمة تقنية المعلومات كما هو مبين في 
الشكل التوضيحي .)١-5(‏ حيث يوضح الشكل أهمية التحالف الإستراتيجي بين الأعمال 
وموارد تقنية المعلومات إلى جانب إيصال القيمة وإدارة الموارد وإدارة المخاطر وعمليات 
قياس الأداء. وهذه الأمور تسمح للمؤسسة بتأسيس حوكمة فعالة لتقنية ا معلومات, 
وينبغي أن يساعد كوبت في إدارة وفهم هذه المفاهيم. ولنا أن نتوقع استمرار نمو المعايير 
والممارسات المنشورة لكوبت والذهاب إلى ما هو أبعد من كونها مجرد مفاهيم أساسية 
خاصة ب "تدقيق تقنية المعلومات". 


ملاحظات: 


-١‏ يقع كل من معهد حوكمة تقنية المعلومات (1101) وجمعية ضبط وتدقيق نظم 
المعلومات (15404) في مدينة رولينج ميدوز بولاية إلينوي الأمريكية. 


؟- كوبت 0: المسودة الخاصة بعرض الإطار (رولينج ميدوزء الينويء معهد حوكمة تقنية 
NEE‏ 
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إرشادات إطار آيتيل (1111) وإدارة خدمات تقنية المعلومات 


في الواقع م یکن مفهوم إدارة خدمات تقنية المعلومات 55811971015 1۲ 
MANAGEMENT (ITSM)‏ معروفاً في الأيام الأولى لإدارات عمليات تشغيل تقنية 
المعلومات الخاصة بمؤسسات الأعمال. فإدارة خدمات تقنية المعلومات 1151/1 عبارة 
عن النظام أو الأسلوب المتبع لإدارة نظم تقنية المعلومات التي تعتمد على رأي العميل في 
حجم مساهمة تقنية المعلومات في الأعمال. تعمل عمليات إدارة خدمات تقنية ا معلومات 
بشكل مدروس ومتزن على عكس الأساليب التقنية المركزية التي كانت تستخدم في الماضي 
لإدارة تقنية المعلومات» وتعد العمليات القوية لإدارة خدمات تقنية المعلومات من العناصر 
الهامة في الحوكمة الفعالة لتقنية ا معلومات. 

يستعرض هذا الفصل القضايا الهامة في إدارة خدمات تقنية المعلومات 1151/1 بالنسبة 
للحوكمة الفعالة لتقنية امعلومات» وذلك من خلال تعريف كبار محترفي الأعمال المتخصصين 
ممكتبة البنية التحتية لتقنية المعلومات Information Technology Infrastructure‏ 
Library )1111(‏ وهي عبارة عن مجموعة من أفضل الممارسات المتعارف عليها دولياً 
والتي تغطي معظم الجوانب الخاصة بعمليات تشغيل تقنية المعلومات. 

آيتل (1111) هو اختصار متعارف عليه ومعترف به للمواد الإرشادية الآخذة في التوسع 
والتي ضعت لأول مرة في ثمانينيات القرن الماضي من قبل مكتب التجارة الحكومية 
ce of Government Commerce (OGC)‏ التابع للحكومة البريطانية. وعلى 
الرغم من أنها كانت في الأصل عبارة عن مكتبة كتب حقيقية» فإنها اليوم تعد مجموعة 
من أفضل الممارسات المستقلة لتقنية المعلومات والتي يتم تحديثها بانتظام والتي قد 
تم اعتمادها في البداية على نطاق واسع من قبل عمليات تشغيل تقنية المعلومات في 
ا مملكة المتحدة: ثم تلاها بعد ذلك الاتحاد الأوروبي «European Union (EU)‏ وقد شاع 
استخدامها الآن بشكل متزايد في الولايات المتحدة الأمريكية. وكما نهو الخال كناما بالنسية 
لشركة آي بي إم (18241) التي أصبحت أا بحد ذاتها بدلا من كونها اختصاراً لآلات 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات ۳ 


الفصل السادس 


الأعمال العالمية International Business Machines‏ فإن معظم ال مهنيين المحترفين 
هذه الأيام قد نسوا الكلمات التي يتكون منها .1111. 

آيتل (1111) عبارة عن إطار عمل تفصيلي لأفضل الممارسات المهمة لتقنية المعلومات» 
ها فيه من قوائم مراجعة ومهام وإجراءات ومسؤوليات شاملة تم تصميمها لتتلاءم مع أي 
إدارة من إدارات تقنية المعلومات. فمن خلال تقسيم العمليات الأساسية الخاصة بتقديم 
الخدمات إلى عمليات خاصة بتقديم خدمات تقنية المعلومات وعمليات تعمل على دعم 
الخدمات؛ أصبح آيتل الآن في واقع الأمر أسلوبا أو منهجية لوصف العديد من العمليات 
الأساسية الموجودة في إدارة خدمات تقنية المعلومات, مثل إدارة التهيئة أو إدارة التغيير. 
ويحدد إطار آيتل سلسلة من أفضل ال ممارسات الأساسية التي لا غنى عنها في حوكمة تقنية 
المعلومات. 

تعد مفاهيم آيتل هامة بالنسبة للحوكمة الفعالة للعمليات التشغيلية في تقنية 
المعلومات في أي مؤسسة. وبشكل مغاير تماماً للأيام الأولى لظهور نظم تقنية ا معلومات 
المؤسسية عندما كان يقوم مطورو نظم وإدارات تشغيل تقنية المعلومات ببناء العديد من 
النظم الرئيسية المرتبطة بتقنية المعلومات. فإن إدارة خدمات تقنية المعلومات (1152/1) 
تدعو مستخدمي تلك التقنية إلى أن يكون لهم دور أكبر بكثير في مثل هذه العمليات 
الشاملة. 


أساسيات آيتل: 

آيتل عبارة عن (أو كان في وقت من الأوقات) "مكتبة" رسمية للمطبوعات التقنية التي نشرت 
من قبل مكتب تجارة الحكومة البريطانفي!' .British Office of Government Commerce‏ 
حيث يتم التحكم في المطبوعات ومحتوياتها بشكل محكم» وذلك عاى غرار مطبوعات المعايير 
الدولية الصادرة عن الآيزو 180 والتي تم الحديث عنها في الفصل السابع من هذا الكتاب. 
يقدم آيتل إطار عمل لحوكمة تقنية المعلومات يركز على القياس والتحسين المستمر لجودة 
خدمات تقنية المعلومات المقدمة. وذلك من منظور الأعمال والعملاء. وقد كان لهذا التركيز 
دور رئيسي في نجاح آيتل في جميع أنحاء العام كما أسهم أيضاً في استخدامه وفي الفوائد 
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الرئيسية التي حصلت عليها المؤسسات التي قامت بنشر تقنيات وعمليات آيتل في جميع 

أنحاء الإدارات التابعة لهم. وفيما يلي بعض من هذه الفوائد: 

٠‏ تزايد رضا المستخدم والعميل عن خدمات تقنية المعلومات التي يتم تقدهها. 

٠‏ تحسين إتاحة الخدمات يؤدي بشكل مباشر إلى تزايد محتمل لأرباح وعائدات الأعمال. 

٠‏ تحقيق توفيرات مالية نتيجة تقليص تكرار العمل وتقليص الوقت المهدر وتحسين إدارة 
الموارد واستخدامها. 

٠‏ تحسين الوقت لتسويق النواحي الخاصة بتقنية المعلومات من منتجات وخدمات 


جديدة. 
٠‏ تحسين صنع القرار وتحسين المخاطر لكافة العمليات ذات الصلة بتقنية المعلومات. 

تشمل أفضل ممارسات آيتل الخاصة بتقديم الخدمات ما يطلق عليه غالباً مصطلح 
البنية التحتية لتقنية ا معلومات» وهي العمليات الداعمة التي تسمح لتطبيقات تقنية 
ا معلومات بالعمل وتوصيل نتائجها لمستخدمي النظم. في كثير من الأحيانء كانت إدارة 
المؤسسة تركز اهتماماتها على الجانب التطويري للتطبيقات المرتبطة بعمليات تقنية 
المعلومات وتهمل الدعم الهام والضروري لعمليات تقديم الخدمات. فمن الممكن على 
سبيل المثال أن تبذل المؤسسة مجهوداً ضخماً في بناء وتطبيق نظام جديد للتنبؤ با ميزانية 
غير أن القيمة الحقيقية المكتسبة من هذا التطبيق أو النظام الخاص بالميزانية ستكون 
قليلة مالم تكن هناك عمليات وإجراءات جيدة معمول بها وموضوعة في موضع التنفيذء 
كعمليات إدارة المشاكل والحوادث» التي تسمح لمستخدمي هذا النظام (التنبؤ با ميزانية) 
بأن يقوموا بالإبلاغ عن الصعوبات أو المشاكل التي تواجههم أثناء استخدامهم له. ومن 
الضروري أيضا أن تكون هناك عمليات جيدة تتعلق بالسعة والإتاحة لكي تسمح للتطبيق 
الجديد بالعمل بالشكل المطلوب. إن جميع عمليات الآيتل هذه تعد جزءاً من البنية 
التحنية لتقنية ا معلومات» فالتطبيقات المحكمة والمصممة على نحو جيد تكون قيمتها 
محدودة بالنسبة لمن يستخدمها في حال عدم وجود مثل هذه العمليات القوية الخاصة 
بدعم وتقديم الخدمة في موضعها الصحيح. 
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في الوقت الذي انتشرت فيه أفضل الممارسات آيتل خلال السنوات الأخيرة في العديد من 
الأماكن الأخرى في العام أصبحت الآن أيضاً أكثر قبولاً ومعترفاً بها على نطاق واسع داخل 
الولايات المتحدة. تقدم الأجزاء التالية لكبار المديرين نظرة عامة عن العمليات الهامة 
والخاصة بتقديم الخدمات في آيتل. وهذا من شأنه أن يقدم بعض الإرشادات المتعلقة 
بالكيفية التي يجب من خلالها أن تمتلك إدارات تقنية المعلومات في المؤسسة عمليات 
فعالة وف الموضع المناسب لهاء مثل وجود مكتب مساعدة أو خدمة العملاء في المجالات 
المهمة لعمليات تقنية المعلومات. لا يحدد آيتل معايير بعينها لبناء وإدارة الضوابط الخاصة 
بتقنية ا معلومات» ولكنه يقترح طرقاً جديدة لتنفيذ وتشغيل ضوابط عامة للبنية التحتية 
التي ينبغي أن يكون معمولاً بها بالفعل. 

يمكن النظر إلى إستراتيجيات تقديم الخدمة الموجودة في آيتل على أنها دورة مستمرة 
لحياة النشاطء حيث تحتوي هذه العملية على ثلاث أنشطة تم عرضها في الشكل التوضيحي 
)١-١(‏ وهي: تقديم الخدمة ودعم الخدمة وانتقال الخدمة. وسنقوم بمناقشة كل من 
هذه الأنشطة في الأجزاء التالية. إن المبدأ الرئيسي هنا هو أن المؤسسة المستعدة لتطبيق 
الآيتل ينبغي أن يكون لديها عمليات مستمرة وجاهزة تتعلق بالخدمات وتتضمن جميع 
العمليات الأخرى في إدارة الخدمات وتستقبل مدخلات من مصادر خارجية لعملاء تقنية 
المعلومات. تقع العملية الخاصة بإستراتيجية الخدمة في وسط هذه الحلقات المركزية. 
حيث تشتمل هذه العملية الأساسية أو المركزية على السياسات والممارسات الخاصة بإدارة 
تقنية المعلومات والتي تم وصفها في عنصر بيئة الرقابة في إطار الرقابة الداخلية (0050©) 
والذي تم طرحه في الفصل الرابع من هذا الكتاب. كما يُظهر الشكل التوضيحي (7-5) هذا 
النموذج نفسه الخاص بتقديم الخدمات كعملية لخريطة سير التغذية الراجعة. 

وقد جرت العادة على تقسيم عمليات آيتل إلى عمليات لدعم الخدمات وعمليات 
لتقديم الخدمات. فعمليات دعم الخدمة تساعد في جعل تطبيقات تقنية المعلومات 
تعمل بطريقة فعالة ومرضية للعميلء في حين تعمل عمليات تقديم الخدمة على تحسين 
كفاءة وأداء عناصر البنية التحتية لتقنية المعلومات. وهناك خمس عمليات لأفضل 
الممارسات المتعلقة بدعم الخدمات فى آيتل والتي تبدأ بالعملية التي يطلق عليها إدارة 
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الإطلاق 113138672626 11616356 » وهي المعنية بوضع منتج تقنية المعلومات في البيئة 
الإنتاجية:. إلى أن تصل إلى عملية إدارة الحوادث 11338612626 ]1010612 » وهي المعنية 
بعمليات الإبلاغ المنتظم عن المشالكل أو الحوادث الموجودة في تقنية المعلومات. تشت 
عمليات دعم الخدمة في آيتل على الممارسات الجيدة أو الرشيدة لأي إدارة من إدارات تقنية 
معلومات مؤسسية» والتي تمتد من عملية التشغيل المركزي القائمة على استخدام الخادم أو 
النظم التقليدية القدهة للحاسبات المركزية كنقطة تحكم مركزية لتقنية المعلومات الخاصة 
بها إلى أن تصل إلى العمليات التشغيلية المنتشرة بكثرة لنظم (الخادم - العميل). 


شكل توضيحي (1-1) 
دورة التغذية الراجعة المستمرة في آيتل 
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شكل توضيحي (5-3) 


عمليات التغذية الراجعة للخدمة في الآيتل 


تصميم الخدمة 
خطط إلشاء وتعدبل الخدمات 
وإجراءات وإدارة الخدمة 


تشغيل الخدمة 
عمليات التشغيل اليومية 
للخدمات وعمليات إدارة 
الخدمة 





ونظراً لوجود العديد من الاختلافات ال محتملة في إدارة العمليات التشغيلية لتقنية 
المعلومات» فإن آيتل لم يحدد التفاصيل المتعلقة ب "كيف" يتم تطبيق عمليات دعم 
الخدمة مثل إدارة التهيئة أو إدارة التغيير. وإنما يقوم آيتل باقتراح مجموعة من الممارسات 
والطرق الجيدة لإدارة المدخلات والعلاقات بين تلك العمليات. ولا يوجد أي ترتيب أو 
أسبقية لأي من هذه الممارسات والطرق. فمن الممكن النظر إليها وإدارتها بشكل منفصلء 
ولكنها جميعاً ترتبط بطريقة ما بعضها مع بعض. تقدم مجالات إدارة الخدمة الخاصة 
بتقديم ودعم الخدمة المتاحة في آيتل إلى جانب إدارة أمن المعلومات» الربط بين العمليات 
التشغيلية للأعمال وإدارة تقنية المعلومات والبنية التحتية الخاصة بها. 
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وعلى الرغم من أن هناك العديد من العناصر المستقلة لكنها مترابطة مع آيتل فإن هذا 
الفصل سيناقش فقط مكونات دورة حياة الخدمة في آيتل والتي تعد أكثر أهمية بالنسبة 
للعمليات الفعالة لحوكمة تقنية المعلومات. تقترح أفضل ا ممارسات في آيتل أساليب مفضلة 
للعمليات التشغيلية لتقنية المعلومات لتشغيل النظم الإنتاجية لتقنية المعلومات بطريقة 
تسمح بتعزيز كفاءة العمليات وتقديم خدمات ذات جودة عالية لعملاء أو مستخدمي 
الخدمات. وتكون هذه الأساليب مفيدة على وجه الخصوص عند إجراء عملية التقييم 
وتقديم التوصيات في إحدى مجالات العمليات التشغيلية لتقنية المعلومات. 

أثناء القيام بمراقبة ومراجعة الضوابط الداخلية لعمليات تشغيل تقنية المعلومات» فإن أحد 
الطرق التي تكون غالباً مجدية هو التفكير في مجال تقنية المعلومات الذي يجري مراجعته من 
حيث عمليات الإطار آيتل المستقلة والمذكورة في الأجزاء التالية. على سبيل المثال» فإن إحدى 
عمليات آيتل التي تسمى إدارة الحوادثء أو التي يطلق عليها عادة "مكتب المساعدة". هي 
إحدى الخدمات المساندة أو الوسيلة التي يمكن استخدامها من قبل عملاء ومستخدمي النظم 
في حال وجود أي استفسار أو مشاكل حول العمليات التشغيلية لتقنية المعلومات. وعلى الرغم 
من الأهمية القصوى للإدارة الخاصة بمكتب المساعدة فإنه يكون غالبا مصدر شكوىء مثال على 
ذلك: طرح المشكلة نفسها عدة مرات دون وجود أي جهود مبذولة بشكل واضح لتحليل الأمور 
والشروع في حلها. وبالنظر إليه على أنه ليس مجرد كونه مكتب مساعدة تقليدياً بل على أنه 
عملية شاملة يتم من خلالها تحويل المسائل إلى عمليات الدعم الأخرى؛ فإن ذلك سوف يحسن 
أداء وجودة جميع العمليات التشغيلية المتعلقة بتقنية المعلومات في هذه الحالة. 


عناصر إستراتيجية الخدمة في آيتل: 

يبين الركن العلوي الأيسر من الشكل التوضيحي (5-1) الذي يعرض الرسم التخطيطي 
لعمليات حلقة التغذية الراجعة في آيتلء وظيفة تسمى إستراتيجيات الخدمة. يصف هذا 
العنصر سياسات وإستراتيجيات ومعايير إدارة الخدمة في آيتل ويقوم أيضاً بتقديم المدخلات 
والإرشادات اللازمة للعمليات الأخرى في آيتل وهي تصميم ونقل وتشغيل الخدمة. كما 
ستقوم تلك العمليات الثلاثة الأخيرة لاحقاً بتقديم المدخلات الضرورية لعملية إستراتيجيات 
الخدمة لإجراء التحسينات المستمرة عليها: 
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وكواحدة من أفضل الممارسات الخاصة بحوكمة تقنية المعلومات» يقترح آيتل أن يقوم 
القانممون على إدارة تقنية المعلومات أولا بتقييم إستراتيجية الخدمة الخاصة بهم» وذلك 
من خلال قيامهم بتوجيه بعض الأسئلة الجادة لأنفسهم والتي تتعلق بجودة خدمة تقنية 
المعلومات التي يقدمونها والتي تشمل: 
٠‏ أي من خدمات تقنية المعلومات التي نقدمها أو عروض الخدمة هي الأكثر تميزاً؟ 
٠‏ أي من الخدمات التي نقدمها هي الأكثر ربحية للمؤسسة بأكملها؟ 
٠‏ أي من عملائنا وأصحاب المصلحة هم الأكثر رضا؟ 
٠‏ ما المجالات أو الخدمات التي قد تكون نقاط مشاكل محتملة أو مجالات لعدم الرضا؟ 
٠‏ أي من الأنشطة التي نقوم بها هي الأكثر اختلافاً وفاعلية؟ 

هذه الأسئلة ليست من النوعية التي تقوم إدارة تقنية المعلومات عادة بتوجيههاء 
سواء من الإدارة أثناء قيامها بتقييم موارد تقنية المعلومات لديها أو من قبل الإدارة العليا 
أو المدققين الداخليين. بل تمثل بعض الأسئلة الهامة التي ينبغي أن تؤخذ بالحسبان من 
قبل إدارة تقنية المعلومات أثناء قيامها بتقييم إستراتيجيات ا ت تقنية المعلومات التي 
تقدمها. والفكرة هي تحفيز إدارة تقنية المعلومات في المؤسسة لكي تكون أكثر من مجرد 
مصدر للحفاظ على عمليات تقنية المعلومات» بل لتكون أحد المصادر التي تة تقدم خدمات 
ذات قيمة عالية للمؤسسة بالكامل وبتكلفة معقولة. الشكل التوضيحي (7-) عبارة عن 
قائمة لبعض الأسئلة الأخرى التي تساعد إدارة تقنية المعلومات للنظر في قدراتها وعروضها 
الإستراتيجية وتحسينها. 

ستكون هناك حاجة لاتباع النهج المتعدد التخصصات للقيام بالرد على هذه الأسئلة 
المطروحة في الشكل التوضيحي (7-7): وذلك بسبب اقتراح آيتل الذي ينص على أنه ينبغي 
على إدارة تقنية المعلومات أن تتعامل مع العديد من الإدارت كالعمليات التشغيلية 
وامالية. وإدارة الجودة: والتدقيق الداخلي لتتمكن من فهم وتحديد الإستراتيجيات 
الرئيسية لتقنية المعلومات في المؤسسة بشكل أفضل. الفكرة كلها هي أنه يجب على 
قسم أو مجموعة تقنية المعلومات أن يقرروا ما هو وضعهم بالنسبة لكامل المؤسسة» 
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وما الخدمات التي بإمكانهم أن يقدموها. فقد ينتج عن هذا الأمر الدليل أو البيان 
الخاص محفظة الخدمات والذي يقوم بتحديد القدرات وعروض الخدمات الخاصة 
بتقنية المعلومات. 

تحدث الفصل الخامس من هذا الكتاب عن استخدام إطار العمل كوبت في وضع 
ضوابط عامة وفعالة لتقنية المعلومات؛ فهذه الأنواع المقنعة من الضوابط العامة قد 
استخدمت في جميع العمليات التشغيلية لتقنية المعلومات في المؤسسة لتوفير الحماية 
الكافية لجميع النظم والتطبيقات. ومن الممكن أن تكون الأقفال امادية والضوابط الأمنية 
الأخرى لمركز الخوادم أو النظام الشائع لأمن تقنية المعلومات القائم على استخدام كلمات 
المرور والذي يغطي جميع العمليات التشغيلية لتقنية المعلومات في المؤسسة: أمثلة على 
تلك الضوابط العامة. وكما أكد الفصل الرابع على الضوابط الداخلية (0050©)» وكذلك 
الفصل الخامس» فإن سوء تنفيذ نظم الرقابة الداخلية لتقنية المعلومات أو ضعفها سوف 
يؤثر في جميع تطبيقات تقنية المعلومات والتي تعد جزءاً من تلك العمليات التشغيلية 
لنظم تقنية المعلومات. 

في ظل ما يشهده العام اليوم من الانتشار الواسع لعمليات ونظم تقنية المعلومات 
الموجودة في جميع أنحاء المؤسسة والتي تمتد من التطبيق الخاص بالتحكم في إحدى عمليات 
وحدات الأعمال ووصولاً إلى شبكة الإنترنت واسعة الانتشار, فإنه ينبغي أن يكون لدى كل من 
إدارة المؤسسة والموظفين المعنيين فهم جيد للتقنيات المستخدمة للرقابة الداخلية في تقنية 
المعلومات. وعلى الرغم من صعوبة تحديد الخطوط الفاصلة في بعض الأحيان: إلا أننا نستطيع 
التفكير بشكل عام في ضوابط تقنية المعلومات على مستويين عريضين هما: ضوابط التطبيقات 
التي تغطي عملية بعينها (مثل تطبيق مدفوعات الحسابات لدفع فواتير المشتريات)» وما 
يطلق عليه ضوابط عامة لتقنية المعلومات. وتشتمل هذه الفثة الأخيرة من الضوابط على 
العديد من الضوابط التي تتجاوز تلك التي ناقشناها في الفصل الرابع من هذا الكتاب» غير أنها 
مهمة لجميع جوانب العمليات التشغيلية الخاصة بتقنية المعلومات اممؤسسية. 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات ۷ 


الفصل السادس 


شكل التوضيحي (8-5) 
أسئلة لتنمية القدرات الإستراتيجية في آيتل 


٠‏ ماخدمات تقنية المعلومات التي ينبغي أن نقدمها؟ ولمن؟ بمعنى: هل نخدم جميع 
وحدات المؤسسة أو عينة محدودة أو عملاء من الخارج؟ 


٠‏ كيف نميز أنفسنا عن البدائل المنافسة؟ قد يقدم مزودو الخدمات الخارجيين خدمات 
بديلة: ولكن ما التكاليف أو القيم الفريدة التي تجعل إدارة تقنية المعلومات تظهر 
كبديل أفضل؟ 

٠‏ هل لدى فريق الإدارة إدارات أخرى بديلة لتقديم خدمات تقنية ا معلومات من خارج 
المؤسسة هكن أخذها في الاعتبار بجدية؟ 

٠‏ كيف يمكننا حقاً خلق قيمة لعملائنا؟ في كثير من الأحيان» تعالج تقنية المعلومات فقط 
الخدمات المطلوبة مثل تقارير الإقفال المالي في نهاية الشهر ولكن لا تعالج المعلومات 
اللازمة لاتخاذ قرارات تخص الاستجابة السريعة. لذلك ينبغي على مديري تقنية 
المعلومات التنفيذيين محاولة معرفة كيف يمكنهم خدمة مستخدميهم بصورة أفضل. 

٠‏ كيف يمكننا وضع محفظة للاستثمارات الإستراتيجية؟ فبدلاً من مجرذ تقديم طلبات 
الميزانية بانتظام فيما يخص مسائل مثل ترقيات البرمجيات» هل يتم تقييم وتبرير مثل 
هذه الطلبات بعناية من قبل إدارة تقنية المعلومات؟ 

٠‏ كيف ينبغي أن نحدد جودة الخدمة؟ من خلال المسوحات والعمل التعاوني» هل كل 
الأطراف المعنية تدرك مدى الخدمات عالية الجودة التي تقدمها تقنية ا معلومات؟ 

٠‏ كيف ممكننا تخصيص مواردنا بكفاءة من خلال محفظة مُعَرّفة لدينا من الخدمات المقدمة؟ 

٠‏ كيف بمكننا حل الطلبات المتعارضة بالنسبة للخدمات المشتركة؟ 





وعلى الرغم من أن مفهوم الضوابط العامة لتقنية المعلومات موجود منذ الأيام الأولى 
للحاسبات المركزية» فإننا اليوم نستخدم غالباً مفهوم البنية التحتية لتقنية المعلومات للإشارة 
إلى مجموعة العمليات التي تشمل جميع العمليات التشغيلية المتعلقة بتقنية المعلومات 
في المؤسسة. ستكون هناك اختلافات كبيرة جداً بين البنى التحتية لتقنية المحلومات الخاصة 


يدل دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


إرشادات إطار آيتيل وإدارة خدمات تقنية المعلومات 


الت مق اوبات الكديزة والضغرة اة على الحجم النسبي لعملياتها التشغيلية 
وطبيعة أعمالها بشكل عام. ونظراً للعديد من هذه الاختلافات المحتملة في أنواع وأحجام 
نظم ومرافق تقنية المعلومات والتي قد تكون ضرورية في هذه الحالةء فإنه في الحقيقة لا 
يوجد هنا مجموعة واحدة من إجراءات رقابة صحيحة وأخرى خاطئة. ولكن ينبغي على 
المؤسسة أن تحدد وتطبق مجموعة من أفضل الممارسات التي من شأنها أن تكون بمثابة 
إرشادات لوضع الضوابط العامة لتقنية المعلومات الخاصة بها. 

في جميع الأحوال فإن المفهوم الهام للرقابة الداغلية هنا يعجاوزغالياً الكيفية التي 
يتم من خلالها إيصال تقارير تطبيقات تقنية المعلومات والمخرجات الأخرى لتقنية 
المعلومات ليصل إلى مستخدمي الأعمال لديها. حيث تقوم كل إدارة من إدارات تقنية 
المعلومات بدعم مجموعة واسعة من عمليات إدارة خدمات تقنية المعلومات التي تم 
تعريفها بواسطة آيتل والتي تضمنت مجالات مثل إدارة المشاكل (بمعنى أنه كيف تقوم 
إدارة تقنية المعلومات بحل المسائل والقضايا المتعلقة مستخدمي الأعمال لديها) وإدارة 
التهيئة (بمعنى انه كيف تقوم إدارة تقنية المعلومات بمتابعة إصدارات البرمجيات والمعدات 
المستخدمة لديها والاحتفاظ بها في أحد السجلات). تشتمل إدارة خدمات تقنية تقيزة المغاومات 
على عدد كبير من قضايا الرقابة الداخلية. وبدلاً من الحديث عن إيجابيات وأخطاء عملية 
محددة: فهناك بعض الممارسات المْثلى المتعارف عليها والتي يجب على المؤسسة أن تقوم 
باستخدامها. حيث يعد التطبيق الفعال لأفضل الممارسات الموجودة في آيتل أحد العناصر 
المهمة في الممارسات الشاملة الجيدة لحوكمة تقنية المعلومات. 

تعد الإدارة المالية لخدمات تقنية المعلومات أحد المجالات التي يتم تجاهلها غالباً من 
قبل الإدارة المالية وإدارة تقنية المعلومات. إن أفضل الممارسات لإدارة الخدمة التي يوصي 
بها آيتل هي التي تحدد إطار العمل هناء ويجب على وحدة تقنية المعلومات وإدارتها 
أن تضع في الحسبان قضايا الإدارة المالية أثناء قيامهم بتقييم مخاطر الضوابط الداخلية 
لتقنية المعلومات لديهم وتنفيذهم للتنقيحات والتحسينات الفعالة للضوابط العامة لتقنية 
المعلومات. ونظراً لعدم وجود تعريف محدد بشكل مطلق بلا يسمى «أفضل»» فإن البعض 
يشير إلى تلك الممارسات باسم الممارسات الجيدة فقط. 


دليل امستول التنفيذي لحوكمة تقنية المعلومات Wr‏ 


الفصل السادس 


وعلى الرغم من وجود العديد من إستراتيجيات إدارة الخدمة التي تم تحديدها ووصفهاء 
فإن الإدارة المالية لخدمات ونظم تقنية المعلومات تعد من أفضل الممارسات الهامة لحوكمة 
تقنية المعلومات التي يتم تجاهلها غالباً من قبل الإدارة المالية وإدارة تقنية المعلومات في 
المؤسسة. وتعد مسألة الإدارة المالية لخدمات تقنية المعلومات واحدة من المجالات التي 
يتم تجنبها من قبل الأخصائيين المحترفين في تقنية ا معلومات بحجة أنهم ليسوا محاسبين 
ولا يفهمون الأمور التي تتعلق بالمحاسبة باستثناء القيام بوضع ميزانية بسيطةء في حين أن 
الموظفين الاعتياديين في الإدارة المالية ينظرون غالباً إلى خدمات تقنية المعلومات على أنها 
قضية تقنية بحتة أو لا تتعدى اهتمامها وضع ميزانية أساسية. في جميع الأحوالء فإن مجال 
الإدارة المالية لخدمات تقنية المعلومات يعد أحد المجالات المهمة في الرقابة الداخلية التي 
تدعو للقلق وأحد أفضل الممارسات الموجودة في آيتل. 

كانت إدارة تقنية المعلومات في معظم المؤسسات تعمل في أيامها الأولى كخدمة دعم 
"مجانية" بالاضافة إلى نفقاتها التي كانت تُعَالجٍ من خلال الإدارة المركزية وكذلك التكاليف 
المخصصة لصالح المستفيدين دون إيلاء المزيد من الاهتمام للتكاليف المتعلقة بتقنية 
ا معلومات. فإذا ما أرادت إحدى إدارات المستخدمين طلب تطبيق جديد. فإنها ستقوم 
بالضغط على الإدارة لتمويل أعمال التطوير أو شراء حزم البرمجيات اللازمة وإضافة أي 
شخص من الأشخاص الذين لا بد من إضافتهم لإدارتها. مع مرور الوقتء بدأت إدارات تقنية 
المعلومات بوضع عمليات خاصة بتحميل التكاليف المرتبطة بخدمات تقنية ال معلومات التي 
تقدمها وأعمال الدعم التي تقوم بها على المستفيدين: فإنه كان في الغالب ينظر إلى هذه 
العمليات على أنها سلسلة من المعاملات التي تقوم بجمع "أموال غير حقيقية" حيث لا أحد 
يولي المزيد من الاهتمام مموضوع التكاليف الفعلية لخدمات تقنية المعلومات وتسعيرها. 

أما اليوم» فيجب أن يؤخذ موضوع التكاليف وتسعير خدمات تقنية المعلومات في 
الحسبان وإيلاء المزيد من الاهتمام به. كما يجب أن تعمل إدارة تقنية المعلومات المدارة 
بشكل جيد كما لو كانت وحدة أعمال تجارية» وتعد الإدارة المالية في آيتل إحدى العمليات 
الرئيسية الهامة التي تساعد على إدارة الضوابط المالية الخاصة بهذه الوحدة التجارية. إن 
الهدف من عملية الإدارة المالية في إستراتيجية الخدمة هو تقديم النصح والإرشاد الكافي 


Ve‏ دليل المستول التنفيذي لحوكمة تقنية ا معلومات 


إرشادات إطار آيتيل وإدارة خدمات تقنية المعلومات 


لإدارة الأصول والموارد المستخدمة في تقديم خدمات تقنية المعلومات على نحو جيد وفعال 

من حيث التكلفة. حيث من الواجب أن تكون إدارة تقنية المعلومات قادرة على حساب 

كامل نفقاتها التي تنفقها على خدمات تقنية ال معلومات» وأن تقوم بتحميل هذه التكاليف 
الخاصة بالخدمات التي يتم تقديمها على عملاء المؤسسة المستفيدين منها. وهناك ثلاثة 

عمليات فرعية مستقلة ومرتبطة بالإدارة المالية في آيتل هي: 

-١‏ وضع ميزانية لتقنية المعلومات هي عملية توقع وضبط النفقات المالية على موارد تقنية 
المعلومات. تتضمن عملية تخصيص الميزانية دورة من المفاوضات التي تتكرر عادة كل 
سنة» لتحديد الميزانيات العامة إلى جانب الرقابة اليومية المستمرة للميزانيات الحالية. 
إن تخصيص الميزانيات يضمن أن يكون هناك تخطيط وتمويل ملائم للخدمات المناسبة 
لتقنية المعلومات وأن تعمل تقنية المعلومات في حدود تلك الميزانية خلال هذه الفترة. 
وسيكون لإدارات الأعمال الأخرى مفاوضات دورية مع تقنية امعلومات لوضع خطط 
الإنفاق والبرامج الاستثمارية المتفق عليها؛ وهي ما ستحدد في نهاية المطاف الميزانية التي 
سيتم تخصيصها لتقنية المعلومات. 

-٠‏ محاسبة تقنية المعلومات هي مجموعة من العمليات التي تكن إدارة تقنية المعلومات 
من إجراء عملية حسابية كاملة للطريقة التي يتم من خلالها إنفاق أموالها على العملاء 
والخدمات والأنشطة. ولا تقوم إدارات تقنية ا معلومات اليوم دائماً بعمل جيد في هذا 
المجال. فهي لديها مجموعة واسعة من التكاليف الخارجية: التي تتضمن البرمجيات» 
والاتفاقيات الخاصة باستئجار المعدات وتكاليف الاتصالات» وغيرها من النفقات» إلا أنه في 
كثير من الأحيان لا يتم إدارة هذه التكاليف أو الإبلاغ عنها بطريقة جيدة. كما أن لديها 
ما يكفي من البيانات اللازمة لدفع الفواتير وتقييم بعض التكاليف ممجالات محددة: إلا أن 
إدارات تقنية المعلومات غالباً ما تفتقر إلى مستوى أكثر تفصيلاً للحسابات» مثل محاسبة 
التكاليف أو نموذج المحاسبة القائم على النشاط الموجود في مؤسسات الإنتاج الكبرى. 

*- المطالبة المالية هي عمليات التسعير وإصدار الفواتير لمطالبة العملاء بالدفع مقابل 
الحصول على خدمات تقنية المعلومات التي يتم تقدهها لهم. وهذا يتطلب نظاماً 
محاسبياً سليم لتقنية المعلومات» ويحتاج إلى أن يتم تطبيقه بطريقة بسيطة ونزيهة 


دليل امستول التنفيذي لحوكمة تقنية المعلومات ين 


الفصل السادس 


ومحكمة جيداً. في بعض الأحيان يتم تقسيم عملية المطالبة بالأموال الخاصة بإحدى 
إدارات تقنية المعلومات بسبب شدة تعقيد تقارير الفواتير المتعلقة بخدمات تقنية 
المعلومات أو بسبب التقنية المتبعة التي يصعب على العديد من العملاء فهمها. تحتاج 
تقنية المعلومات إلى إصدار تقارير واضحة ومفهومة تتعلق بخدمات تقنية المعلومات 
المستخدمة بحيث تكن العملاء من التحقق من تفاصيلهاء وفهم ما يكفي للاستفسار 
عن الخدمات» والتفاوض بشأن التعديلات إذا لزم الأمر. 
تقوم الإدارة المالية لتقنية المعلومات بدعم عملية إستراتيجية الخدمة من خلال هذه 
الإجراءات المحددة للتكاليفء والتسعيرء والمطالبة. وعلى الرغم من أن هذه العملية للإدارة 
المالية لا تعمل عموماً على أنها مركز لتحقيق الأرباح» فإنها تسمح لكل من إدارة تقنية 
المعلومات وعملائها بالتفكير بشكل أفضل بالعمليات التشغيلية لخدمات تقنية المعلومات 
من الناحية التجارية. وقد تسمح عملية الإدارة المالية لإدارة تقنية المعلومات والإدارة بشكل 
عام باتخاذ قرارات تتعلق بتحديد الوظائفء إن وجدّت» والتي يجب الإبقاء عليها بداخل 
الشركة: والوظائف التي يجب إسنادها (تعهيدها) لمقدمي خدمات من خارج المؤسسة. 
تسمح عملية الإدارة المالية في آيتل بإجراء تحليل دقيق لتكلفة خدمات تقنية المعلومات 
التي يتم تقدهها والعائد المادي منهاء كما تسمح لإدارة تقنية المعلومات بوضع وتحقيق 
أهداف مالية محددة. كما أنها توفر التقارير الخاصة بعمليات إدارة مستوى الخدمات في 
الوقت المناسبء الأمر الذي يمكن العملاء من فهم الطرق المتبعة للمطالبات المالية وتسعير 
الخدمات. فمن بين جميع عمليات آيتل الخاصة بدعم وتقديم الخذمات» تعد عملية 
الإدارة المالية واحدة من أفضل الممارسات في آيتل التي يكون الاهتمام بها غالباً أقل من 
المستوى المطلوب. فامميول التقنية الموجودة لدى الأشخاص العاملين في تقنية ا لمعلومات 
يدفعهم إلى التفكير بالإدارة المالية على أنها قضية محاسبية. على الجانب الآخر من العملة, 
فإن المهنيين العاملين بالمالية والمحاسبة يميلون إلى التفكير في هذه القضايا على أنها تقنية 
بحتة وأنها لا تتعدى مثل هذه المعاملات الخاصة بمحاسبة استتجار المعدات أو رسوم 
استتئجار المرافق. إن تكاليف وأسعار خدمات تقنية المعلومات تعد من القضايا الهامة في 
حوكمة تقنية المعلومات. 


۷1 دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


إرشادات إطار آيتيل وإدارة خدمات تقنية المعلومات 


تصميم الخدمة فى آيتل: 
هناك ثلاثة مجالات لعملية إستراتيجية الخدمة في آيتل في دورة حياة خدمة تقنية المعلومات» 
تبدأ بتصميم الخدمة» وكما هو مبين في الشكل التوضيحي .)١١1(‏ فإن عمليات تصميم الخدمة 
في آيتل تغطي مجالات أكثر انسجاماً مع عمليات التشغيل السَّلسَّة وذات الكفاءة للبنية التحتية 
لتقنية المعلومات بشكل عام. ويحدد آيتل خمسة جوانب لتصميم الخدمة: 
-١‏ تصميم كل خدمة من خدمات تقنية المعلومات التي يتم تقدههاء يشتمل على المتطلبات 
الوظيفية» وا موارد الضرورية والقدرات المتوقعة. 
-١‏ تصميم نظم وأدوات إدارة الخدمةء يتم غالباً تقدهه عن طريق محفظة رسمية لإدارة 
وضبط هذه الخدمات خلال دورة حياتها. 
۴- تصميم النظم المعمارية والإدارية لتقنية المعلومات يعد أمراً ضرورياً لتوفير الخدمات. 
-٤‏ تصميم العمليات يعد أمراً ضرورياً لتزكيب وتشغيل وتحسين مجمل العمليات الخاصة بالخدمات. 
-٥‏ تصميم أساليب قياس ومقاييس معيارية لعمليات الخدمات والبنية المعمارية لمكوناتها. 
إن ما يقوم آيتل بتعريفه على أنه خدمات العملاء يدل حقيقة على أن كل إدارة من 
إدارات تقنية المعلومات تنشئ الكثير من الخدمات للعملاءء وأنه لا بد من إدارة وضبط 
هذه الخدمات المعروضة من خلال حوكمة تقنية المعلومات المناسبة واستخدام التقنيات 
الخاصة بأفضل الممارسات. ولدعم عملية تقديم خدمات ذات كفاءة عاليةء قام آيتل 
بتحديد مجموعة محددة من العمليات النوعية. كان البعض منها كعملية إدارة استمرارية 
أعمال تقنية ال معلومات» مفضلا لدى إدارة تقنية المعلومات ومدققيها على مر السنين. كما 
أن هناك عمليات أخرى مثل اتفاقيات مستوى الخدمة Service Level Agreements‏ 
(8144) والتي تحدد الأداء والتوقعات المتفق عليها بين إدارة تقنية ا معلومات وعملائها 
والتي لا يتم فهمها وتطبيقها دائما كما ينبغي. وسيتم مناقشة اتفاقيات مستوى الخدمة في 
الفصل السابع عشر من هذا الكتاب. 
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الفصل السادس 


إدارة السعة الخاصة بتقديم الخدمة: 

تضمن إدارة السعة في آيتل أن تتماشى سعة البنية التحتية لتقنية المعلومات مع 
احتياجات العمل للحفاظ على المستوى المطلوب من تقديم الخدمات ضمن تكلفة معقولة 
ومنطقية من خلال مستويات مناسبة للسعة. فمن خلال جمع البيانات المتعلقة بسعة 
الأعمال والسعة التقنيةء ينبغي أن تسفر هذه العملية من عمليات آيتل عن خطة مناسبة 
للسعة يتم من خلالها تقديم متطلبات خاصة بسعة تقنية المعلومات يمكن تبرير تكلفتها 
بالنسبة للمؤسسة. وبالإضافة إلى الهدف الأساسي لفهم المتطلبات الخاصة بسعة تقنية 
المعلومات في المؤسسة وتقديم مقابل لها (متطلبات - مميزات مقابل متطلبات)» فإن إدارة 
السعة هي المسؤولة عن تقييم المزايا المحتملة للتقنيات الجديدة التي يمكن أن تكون لدى 
ألؤسسية: 

تتكون عملية إدارة السعة في آيتل من ثلاث عمليات فرعية هي: إدارة سعة الأعمال 
وإدارة سعة الخدمة وإدارة سعة الموارد. بالنسبة لإدارة سعة الأعمال فهي عملية طويلة 
الأجل لضمان أخذ المتطلبات المستقبلية للأعمال بعين الاعتبار ومن ثم التخطيط لها 
وتنفيذها حسب الحاجة. أما إدارة سعة الخدمة فهي المسؤولة عن التأكد من أن أداء 
جميع خدمات تقنية المعلومات الحالية يتفق مع المعايير المحددة في اتفاقيات مستوى 
الخدمة (5144). وأخيراء إدارة سعة الموارد. فهي تركز بصورة أكبر على الناحية التقنية 
وهي المسئولة عن إدارة المكونات الفردية ا موجودة في البنية التحتية لتقنية المعلومات. 
تشتمل المدخلات المتعددة لتلك العمليات الفرعية الخاصة بإدارة السعة على ما يلي: 
٠‏ اتفاقيات مستوى الخدمة والخروقات الخاصة بها (وهذا ما سيتم تناوله مزيد من 

ا مناقشة والتفصيل في الفصل السابع عشر من هذا الكتاب). 

٠‏ خطط وإستراتيجيات العمل. 
٠‏ الجداول الزمنية التشغيلية: إلى جانب إجراء تغييرات على الجدول. 
٠‏ قضايا تطوير التطبيقات. 
« القيود المفروضة على التقنية وعمليات الاستحواذ. 
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٠‏ حوادث ومشاكل تقنية المعلومات. 
٠‏ الميزانيات والخطط الالية. 

وتظدرا لهذة اللدخلات التحددة كان عة إذارة الشحة تون غالا تحت إذارة مدير 
واحد مُعين لإدارة السعة» والذي يجب أن يدير عمليات تقنية ا معلومات» ويقوم على تطوير 
وصيانة خطة رسمية لإدارة السعة: وأن يضمن تحديث السجلات الخاصة بالسعة. وبالإضافة 
إلى ذلك لا بد من إشراك مدير السعة في عمليات تقييم جميع التغيرات ليحدد مدى تأثير 
التغيرات الجديدة على السعة والأداء. ولا بد من إجراء عملية التحقق من السعة أثناء اقتراح 
التعديلات وبعد تنفيذها. كما يجب أن تولي إدارة السعة اهتماماً خاصاً بالتأثير التراكمي 
للتغييرات على مدى فترة من الزمن والتي يمكن أن تسبب انخفاضاً في أوقات الاستجابة 
وحدوث مشاكل في عمليات تخزين الملفات وفي زيادة الطلب على السعة المستخدمة في 
عمليات المعالجة. وتشتمل المسؤوليات الأخرى المتعلقة بعملية إدارة السعة على بعض مهام 
مدير نظم الشبكات ومدير تطوير التطبيقات. فهم المسؤولون عن ترجمة متطلبات العمل 
إلى السعة اللازمة لتكون قادرة على تلبية هذه الاحتياجات وتحسين أداء تقنية المعلومات. 

إن التطبيق الفعال لعملية إدارة السعة من شأنه أن يقدم لإدارة تقنية المعلومات 
فوائد, كتقديم ملخص حقيقي عن السعة اللتاحة حالياً والقدرة على التخطيط المسبق 
لحجم السعة المطلوبة مستقبلاً. ينبغي أن تكون الإدارة الفعالة للسعة قادرة على تقدير 
أثر التطبيقات أو التعديلات الجديدة على السعة: كما يجب عليها أن تقوم بتقليل التكاليف 
التي تتماثى مع متطلبات عمليات التشغيل ف المؤسسة. إن التخطيط السليم للسعة يمكن 
أن يقلل بشكل كبير من التكلفة الإجمالية الناجمة عن اقتناء نظام تقنية المعلومات. فعلى 
الرغم من أن التخطيط الرسمي للسعة قد يتطلب الكثير من الوقت والموارد البشرية 
المتمثلة في فرق عمل داخلية وخارجية» وبرمجيات وأجهزة وأدوات. إلا أن الخسائر التي 
تكسن تكبدهااجراء غياب التخطيظ للسعة قن تكون كبيرة جداً. إن عدم إتاحة البيئة 
الإنتاجية للمستخدمين الذين يعملون في إدارات الأعمال الحساسة:. والمبالغ الطائلة التي 
تنفق على معدات الشبكات أو الخدمات» والتكاليف المترتبة على عمليات ترقية النظم 
الموجودة حالياً بالفعل في البيئة الإنتاجية, كل ذلك قد يكون أكثر من مبرر للتكلفة الخاصة 
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بعملية التخطيط للسعة. ولأن هذه العملية تعد من العمليات الهامة في آيتلء لذا ينبغي 
هنا أن تقوم إدارة تقنية المعلومات بأخذ عمليات إدارة السعة المعمول بها والمتعارف عليها 
في الاعتبار عند قيامها بمراجعة عمليات حوكمة تقنية المعلومات. 

يتحدث الفصل التاسع من هذا الكتاب عن المزيد من القضايا المتعلقة بإدارة سعة 
تقنية المعلومات من منظور الحوسبة السحابية 28انام0022) 010110 والافتراضية 
3-2 فالحوسبة السحابية 128نام0022 010110 تشير إلى تلك الموارد الهائلة 
لتقنية المعلومات المتعددة الخوادم التي يتم توفيرها من قبل عدد متزايد من كبار الباعة. 
فنحن الآن في عصر ت تتوفر فيه الموارد التخزينية بأثمان رخيصة أكثر من أي وقت مضى» 
لذا فإننا نتحدث هنا عن كمية غير محدودة تقريباً من ال موارد التخزينية الخاصة بتقنية 
المعلومات. أما الافتراضية 7711121122105 فهي من الموضوعات الأخرى التي لها علاقة 
بإدارة السعة وحوكمة تقنية المعلومات التي تم الحديث عنها ومناقشتها في الفصل التاسع 
من هذا الكتاب؛ حيث يشير مصطلح الافتراضية إلى الأدوات البرمجية التي يمكن من خلالها 
مشاركة أو تقاسم موارد تقنية المعلومات بطريقة لا تجعلنا نشعر بالقلق إزاء القيود 
المفروضة على الموارد في أي جهاز. وقد أسهمت هذه التقنيات في تغيير العديد من الطرق 
والأساليب المستخدمة: ومع ذلك فإن مفهوم إدارة السعة في آيتل ما زال يعد واحداً من 
المفاهيم الهامة في مجال حوكمة تقنية المعلومات. 


إدارة الإتاحة للخدمات المقدمة: 
ازداد اعتماد المؤسسات هذه الأيام على خدمات تقنية المعلومات المقدمة إليها والمتاحة 


سبعة أيام في الأسبوع و٤‏ ساعة في اليوم. في كثير من الحالات نری أنه عندما تكون تلك 
الخدمات الخاصة بتقنية المعلومات غير متاحة» فإن الأعمال اسا 3 تتوقف. ولذلك فإن 


قيام إدارة تقنية المعلومات بإدارة ومراقبة مدى إتاحة الخدمات التي تقدمها تعد من 
الأمور الحيوية. 0 تحقيق ذلك من خلال تحديد احتياجات الأعمال المتعلقة موضوع 
إتاحة خدمات تقنية ا معلومات: ومن ثم مقارنتها مع الإمكانيات المتوفرة لدى إدارة تقنية 
المعلومات. 
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تعتمد أفضل الممارسات الخاصة بإدارة الإتاحة في آيتل على عدة مدخلات» تتضمن 
المتطلبات المتعلقة بإتاحة الأعمال؛ معلومات عن الموثوقية أو الاعتماديةء والصيانة. والتعاف 
وإمكانية تقديم الخدمة؛ ومعلومات من العمليات الأخرى والحوادث والمشاكل ومستويات 
الخدمة التي يتم تحقيقها. تتمثل أهداف عملية إدارة إتاحة الخدمات في: 
٠‏ وضع خطة مناسبة ومحدنة لإتاحة الخدمات وصيانتها بحيث تعكس الحاجات الحالية 
والمستقبلية للمؤسسة. 
٠‏ توفير الخدمات والإرشادات التوجيهية لكافة المجالات الأخرى في المؤسسة فيما يخص 
القضايا المتعلقة بإتاحة تقنية المعلومات. 
٠‏ التأكد من أن الإنجازات التي تتعلق بإتاحة الخدمات تلبي الأهداف الموضوعة وزيادة 
وذلك من خلال إدارة أداء الإتاحة بالنسبة للخدمات واموارد. 
٠‏ المساعدة في تشخيص وحل الحوادث والمشاكل المتعلقة بالإتاحة. 
٠‏ تقييم تأثير كل التغيرات على خطة الإتاحة والأداء والسعة لجميع الخدمات والموارد. 
٠‏ ضمان تطبيق الإجراءات الوقائية في أي مكان تكون فيه تكلفة تلك الإجراءات مبررة. 
ويمكن وصف الأنشطة المتعلقة بإدارة إتاحة الخدمات على أنها عبارة عن إجراءات 
للتخطيط والتحسين والقياس. حيث يتضمن نشاط التخطيط القيام بتحديد متطلبات 
الإتاحة لمعرفة ما إذا كان هناك إمكانية للوفاء بها والكيفية التي يمكن من خلالها تطبيق 
الإتاحة المطلوبة. إن عملية إدارة مستوى الخدمة» والتي سيتم تناولها مزيد من التفصيل 
لاحقا في الفصل السابع عشر من هذا الكتاب تعد من العمليات التي تبقى على تواصل 
مستمر بالأعمال والقادرة على تزويد إدارة الإتاحة ببعض التوقعات المناسبة بخصوص 
الإتاحة المطلوبة. قد يكون هناك توقعات غير واقعية في الأعمال بخصوص إتاحة تقنية 
المعلومات دون فهم ما يعنيه هذا من حيث القيمة الحقيقية. فمثلاء قد يرغب مستخدمو 
الأعمال في توفير إتاحة بنسبة ,۹> وهم حتى الآن لا يدركون أن تكلفة هذا الأمر ستزيد 
بمقدار خمسة أضعاف تكلفة الإتاحة التي تتوفر بنسبة ٩۸‏ فقط. وتقع إدارة مثل هذه 
التوقعات على عاتق إدارة مستوى الخدمة وعملية إدارة الإتاحة. 
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الشكل التوضيحي )٤-١(‏ يوضح العلاقة بين الإتاحة والتكاليف. حيث يتضح أن الحفاظ 
على مستوى أساسي منخفض من الإتاحة الخاصة بتشغيل نظم تقنية ا معلومات لن يكلف 
الكثير في حال كانت تلك الإتاحة هي كل ما ستحصل عليه المؤسسة. ويجب على إدارة تقنية 
المعلومات أن تضع هذه العلاقة في الحسبان عند قيامها مراجعة الضوابط وتقديم التوصيات. 

تستطيع إدارة تقنية المعلومات أن تقوم بتصميم إما عملية "إتاحة :اذا 4::0113" الخدمات 
أو عملية "استرجاع 86607617" الخدمات. فعندما لا تحتمل الأعمال بقاء خدمة معينة 
معطلة لأي فترة من الزمنء فستكون إدارة تقنية المعلومات بحاجة إلى تعزيز المرونة في البنية 
التحتية التقنية الخاصة بها وضمان تنفيذ عمليات صيانة وقائية للمحافظة على استمرارية 
عمل الخدمات. وف كثير من الحالات قد يكون بناء "إتاحة اضافية" "ذ1ز21:11926 ×" في 
البنية التحتية مهمة باهظة الثمن ولكن يمكن تبريرها باحتياجات العمل. إن عملية التصميم 
لإتاحة الخدمات هي عبارة عن نهج استباقي لتفادي تعطل خدمات تقنية المعلومات. 

أما إذا كانت الأعمال تستطيع تحمل توقف الخدمات لبعض الوقتء أو عندما لا يكون 
هناك أي مبررات لعمليات تعزيز إضافية في مرونة البنية التحتية التقنيةء فإن وضع تصميم 
مناسب لاسترجاع الخدمات سيكون هو النهج المناسب. وفي هذه الحالة سيتم تصميم 
البنية التحتية بحيث أنه في حال توقف الخدمة ستبدأ عملية الاسترجاع في استعادة هذه 
الخدمة وتشغيلها "في أسرع وقت ممكن". إذ إن وضع تصميم للاسترجاع يعد نهجاً إدارياً 
للإتاحة يعتمد بشكل كبير على رد الفعل. فعند وقوع أي حادث يجب أن تكون العمليات 
الأخرى في آيتل مثل إدارة الحوادث في موضع التنفيذ للقيام بعملية استرجاع الخدمة 
وتشغيلها بأسرع ما يمكن في حال توقفها أو انقطاعها. 

إن الفائدة الرئيسية من إدارة الإتاحة هو امتلاك عملية منظمة لتقديم الخدمات التي 
يتم توفيرها وفقاً لحاجات العملاء المتفق عليها مسبقاً. الأمر الذي يجب أن يؤدي إلى زيادة 
إتاحة خدمات تقنية المعلومات وزيادة مستوى الرضا لدى العملاء. وهذا يغطي مساحة 
قد تسمح للمدققين على أعمال تقنية المعلومات بطرح بعض الأسئلة الصعبة على أنها جزء 
من عمليات مراجعة الضوابط العامة لتقنية المعلومات التي يقومون بها. 
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شكل توضيحي (-6) 


العلاقة بين الإتاحة والتكاليف في الآيتل 


التكلفة 




















إدارة أمن واستمرارية نظم المعلومات الخاصة بتقديم الخدمة: 

تمثل إدارة الأمن والاستمرارية عنصرين مستقلين من العناصر الخاصة بأفضل ممارسات 
تقديم الخدمة الموجودة في آيتل. ونظراً لاعتماد الأعمال الآن على تقنية المعلومات أكثر 
من أي وقت مضىء فإن حجم التأثير الناجم عن عدم إتاحة أي خدمة من خدمات تقنية 
المعلومات قد يزداد بشكل كبير. وفي كل مرة يتم فيها انخفاض مدى إتاحة الخدمات أو 
أدائهاء لا يستطيع عملاء تقنية المعلومات مواصلة تنفيذ أعمالهم بالشكل الطبيعي. وهذا 
الاتجاه نحو الاعتماد الكبير على دعم تقنية المعلومات وخدماتها سوف يستمر وسيؤثر 
بشكل مباشر ومتزايد على العملاء والمديرين وصناع القرار. وتؤكد إدارة الاستمرارية في 
آيتل أنه يجب تقدير مدى تأثير الفقد الكلي أو الجزفي لخدمات تقنية المعلومات» كما 
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كت اعليها لضان تقوم بوضع خطط استمرارية لضمان أن الأعمالء والبنية التحتية لتقنية 
المعلومات الداعمة لهاء سوف تكون قادرة دائماً على الاستمرار في العمل. 
يدعو آيتل إلى تطوير إستراتيجية مناسبة تحتوي على شيء من التوازن المثالي بين الخيارات 
المتعلقة بالحد من المخاطر وخيارات استرجاع الخدمات. وهذه الإستراتيجيات تشبه إلى حد 
ما بعض الإستراتيجيات الخاصة باستمرارية الأعمال والتعافي من الكوارث المذكورة في الفصل 
العاشر من هذا الكتاب. وباستخدام الأساليب المذكورة هناك فإنه يجب على المنظمة أن 
تقوم بتطبيق مجموعة فعالة من العمليات الخاصة باستمرارية الخدمة. 
أما إدارة أمن تقنية المعلومات فهي مجموعة أخرى من أفضل الممارسات في آيتل. فآيتل 
يقر بضرورة توفر عمليات لأمن المعلومات ضمن إطار حوكمة الشركات» وذلك لوضع توجه 
إستراتيجي للأنشطة الأمنية وضمان تنفيذ هذه الأنشطة. ويأتي أمن ا معلومات كثيرا بعد 
التركيز على حوكمة تقنية المعلومات. حيث يؤكد آيتل أن أمن المعلومات أكثر من مجرد 
قضية تخص تقنية المعلومات» فهو أيضا قضية إدارية. إن أهداف أمن تقنية المعلومات هي 
حماية مصالح أولئك الذين يعتمدون على المعلومات التي تقدمها تقنية المعلومات وحماية 
النظم والاتصالات المستخدمة لإيصال تلك المعلومات. ويتم تحقيق أمن المعلومات في آيتل 
من خلال الأهداف التالية: 
٠‏ هدف الإتاحة: أن تكون المعلومات متاحة ويمكن استخدامها عند الطلب» وأن النظم التي 
تتيحها يمكنها أن تقاوم وبشكل مناسب الهجمات وتتعافى من الأعطال أو تمنع حدوثها. 
٠‏ هدف السرية: يتم مراقبة المعلومات أو الكشف عنها فقط لأولئك الذين لديهم الحق 
في الاطلاع عليها. 
٠‏ هدف النزاهة أو السلامة: أن تكون المعلومات كاملة ودقيقة ومحمية ضد التعديل غير المصرح به. 
٠‏ هدف الموثوقية وعدم التنصل: أن تكون إجراءات الأعمال وكذلك تبادل المعلومات بين 
المؤسسات أو مع الشركاء يمكن الوثوق بها. 
وتستمر إدارة أمن المعلومات في آيتل في تحديد أفضل الممارسات للوصول إلى نظام 
كامل لإدارة أمن المعلومات. فأفضل ال ممارسات الهامة 3 والعمليات الفعالة لإدارة أمن 
المعلومات تشكل غنصرا هاما من عاضر الحوكمة الفعالة لتفنية اللعلومات: 
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عمليات إدارة انتقال الخدمة في آيتل: 

كما يعلم مديرو ومحترفو تقنية المعلومات» أن العمليات التشغيلية الخاصة بتقنية 
المعلومات تكون دائماً عرضة للتغيرات الدورية التي تتم على ا معدات والبرمجيات. وقد تنطوي 
هذه العمليات على تخطيط الانتقال السليم لإدخال مكونات جديدة واختبارها والتحقق من 
صحتها قبل أي إطلاق لها في البيئة الإنتاجيةء وكذلك إدارة التهيئة لمراقبة ا مخزون» والعلاقات 
بين أجهزة وخدمات تقنية المعلومات. وقد قام آيتل بتجميع هذه ا ممارسات تحت ما يطلق 
عليه اسم إدارة الانتقال» وهو المجال الذي يمكن أن يسلط الضوء على بعض مخاطر الرقابة 
الداخلية المؤثرة بالنسبة للعمليات التشغيلية للبنية التحتية لتقنية المعلومات. فمن الممكن 
على سبيل المثال أن يتم تثبيت أحد تطبيقات تقنية المعلومات بضوابط داخلية غير مرنة. 
فضلاً عن أنه» من الممكن أن تتسبب التغيرات اللاحقة غير المصرح بها على التطبيق نفسه أو 
التهيئة غير السليمة للمعدات الملحقة به بظهور مخاوف رقابية جديدة. 


إدارة التغيير الخاصة بانتقال الخدمة: 

ينتج غالباً عن عملية إدارة المشاكل التي تم الحديث عنها كجزء من العمليات 
التشغيلية للخدمات, الحاجة لإجراء بعض التغييرات أو التعديلات في تقنية المعلومات, 
كالتغيرات التي تطرأ على البرنامج أو التعديلات الطارئة على العملية أو الإجراء لتحسين 
الخدمات والحد من التكاليف. إن الهدف من إدارة التغيير في آيتل هو استخدام أساليب 
وإجراءات معيارية للتعامل الفعال والفوري مع التغييرات كافة. وذلك للتقليل من درجة 
تأثير تلك التغيرات في جودة وأداء الخدمات والعمليات يوما بعد يوم. وتشمل عمليات 
إدارة التغيير في آيتل: 

۰ معدات وبرمجيات نظم تقنية المعلومات. 

٠‏ معدات الاتصالات والبرمجيات. 

۰ جميع برمجيات الت التطبيقات. 


٠‏ جميع الوثائق والإجراءات المتعلقة بعمليات تشغيل ودعم وصيانة النظم الحية. 
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وتعد النقطة الأخيرة مصدر قلق واهتمام بشكل خاص. إذ يتم غالبا تغيير أجهزة 
وبرمجيات تقنية المعلومات مع عدم الاهتمام بشكل كاف بتغيير الوثائق والبرامج الداعمة 
المرتبطة بتلك الأجهزة والبرمجيات. فالتغيرات التي تحدث على أي عنصر من عناصر 
تقنية المعلومات (مثل برمجيات التطبيقات أو الوثائق أو الإجراءات) يجب أن تخضع 
لعملية رسمية خاصة بإدارة التغيير. ومع ذلك تكون عملية إدارة التغيير غالبا عشوائية 
حتى في أحسن أحوالها. ومن الأمثلة على ذلكء أن تتم التغييرات على التطبيقات دون 
التفكير في آثارها على مجمل البنية التحتية لتقنية المعلومات» أو بروز تغيرات أخرى ناجمة 
عن الإصلاحات التي تقوم بها إدارة الحوادثء أو طلبات الإدارة العليا المتعلقة بإجراء 
بعض التغيرات اللازمة لحل بعض المشاكل قصيرة الأجل أو الفورية. لذا ستعمل العمليات 
الرسمية لإدارة التغييرء والتي تقوم بمراجعة واعتماد التغيرات المقترحة, عكر مَسَكم وغل 
تحسين عمليات تقنية ا معلومات وعمليات الرقابة الداخلية في المؤسسة. وينبغي الربط بين 
عملية إدارة التغيير ا موجودة في آيتل وإدارة التهيئة» التي تم الحديث عنها E‏ بشكل 
وثيقء وذلك لضمان إتاحة المعلومات الخاصة بالآثار المحتملة أو المترتبة على التغييرات 
المقترحة, والكشف عن أي تأثيرات محتملة وعرضها بشكل مناسب. 
يجب أن يكون لعمليات إدارة التغيير رؤية عالية وقنوات اتصال مفتوحة من أجل 
تعزيز الانتقال السلس عند حدوث التغييرات. ولتحسين هذه العمليةء قامت العديد من 
إدارات تقنية المعلومات بتشكيل مجلس استشاري رسمي للتغيير '(1501كلة Cage‏ 
(088) 80354 مكون من مزيج من الأشخاص العاملين في إدارات تقنية المعلومات وإدارات 
المستكدمية الأحرى :اللوجوذة ناغل اة اليقوموا جما مزاخ ارات واللواققة 
عليها. فالمجلس الاستشاري للتغيير(081) هو كيان موجود للموافقة على التغييرات 
وا مساعدة في تقييمها وتحديد أولوياتها. ويجب أن يُسنّد للمجلس مسؤولية التأكد من أن 
جميع التغييرات قد تم تقييمها بصورة كافية من منظور الأعمال والمنظور التقني. ولتحقيق 
5 ا مزيج» يجب أن يكون ا مجلس الاستشاري للتغيير 0418© مكوناً من فريق يعي بشكل 
جيد احتياجات أعمال العملاء إلى جانب الوظائف التقنية الخاصة بالدعم والتطوير. يرأس 
المجلس الاستشاري للتغيير (0478) مدير مسئول عن عمليات التغيير. ويجب أن يضم المجلس 
كلاً من عملاء تقنية المعلومات» ومطوري التطبيقات» ومختلف الخبراء/ الاستشاريين الفنيين 
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إذا اقتضت الحاجة ذلكء وممثلين عن المقاولين أو الأطراف الخارجية في حال كان هناك 
استعانة بمصادر خارجية. وعلى الرغم من أنه يجب على هذ المجلس أن يعقد اجتماعات 
دورية منتظمة لمراجعة وجدولة التغييرات المقترحة» فإنه لا ينبغي أن يكون بمثابة عائق أمام 
العمليات التشغيلية لتقنية ا معلومات» بل لا بد من وجود هذا المجلس لتوفير جدولة منظمة 
وإدخال جميع أنواع التغييرات على البنية التحتية لتقنية المعلومات. 

تحتاج العمليات الشاملة الفعالة لإدارة الخدمات إلى القدرة على تغيير الأمور بطريقة 
منظمة: لتفادي الوقوع في أخطاء واتخاذ قرارات خاطئة. إن العملية الفعالة لإدارة التغيير 
أمر لا غنى عنه بالنسبة لبنية تحتية فعالة لتقنية ال معلومات» وينبغي أن تشمل ما يلي: 
٠‏ تحسين المواءمة والانسجام بين خدمات تقنية المعلومات ومتطلبات العمل. 
٠‏ الشفافية المتزايدة ووضوح الرؤية والتواصل بشأن التغييرات لكل من فريق دعم الأعمال 

والخدمات. 
٠‏ تحسين تقييمات المخاطر. 
٠‏ تقليل التأثير السلبي للتغيرات على جودة الخدمات. 
٠‏ تقييم أفضل لتكاليف التغييرات المقترحة قبل أن يتم تكبد تلك التكاليف. 
« زيادة إنتاجية عملاء تقنية المعلومات من خلال تقليل أوقات الانقطاع وخدمات عالية 
الجودة. 

٠‏ زيادة قدرة تقنية ا معلومات لاستيعاب حجم كبير من التغييرات. 

إن عملية إدارة التغيير في آيتل تعد عنضراً هاماً من عناصر البنية التحتية لتقنية 
المعلومات» وينبغي أن ترتبط وتتماشى بشكل وثيق مع العمليات الرئيسية لإدارة التهيئة 
والسعة والإطلاق ف البنية التحتية لتقنية المعلومات. وهي أيضا عنصر هام من عناصر 
الحوكمة الفعالة لتقنية المعلومات. 
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إدارة التهيئة الخاصة بانتقال الخدمة: 

مهما كان حجمها النسبيء فإن الإدارات الخاصة بتشغيل تقنية المعلومات تعتبر معقدة 
وذلك في ظل وجود العديد من الأنواع والإصدارات الخاصة بالمكونات المادية والبرمجيةء هذا 
بالإضافة إلى الروابط المستخدمة للاتصال بمكونات الحوسبة السحابيةء التي يجب أن تعمل 
جميعها معاً بطريقة منظمة ومحكمة الإدارة. ومن المؤكد أن هذا صحيح بالنسبة للشركة 
التي تعمل من خلال نظم أجهزة الحاسب المركزية كصه۲؟ 1ة التقليديةء أو"مزارع" 
الخوادم "5617615 01 281125" وعدد كبير من أجهزة التخزين ومعدات الاتصالات» والأمر 
نفسه يسري على وحدة التشغيل الصغيرة لنظم تقنية المعلومات. تعد الوظيفة الرسمية 
لإدارة التهيئة عملية هامة لتقديم الخدمات التي تدعم التعريف والتسجيل والإبلاغ عن 
مكونات تقنية المعلومات وإصداراتها ومكوناتها التأسيسية وعلاقاتها. فالعناصر التي يجب 
أن تخضع لرقابة إدارة التهيئة تشمل الأجهزة والبرامج والوثائق المرتبطة بها. هناك اختلاف 
بين مفهوم إدارة التهيئة وا مفهوم الخاص بعملية المحاسبة الإهلاكية الخاصة بإدارة الأصولء 
على الرغم من وجود علاقة بينهما. فنظم إدارة الأصول تحتفظ بتفاصيل عن معدات 
تقنية المعلومات التي تزيد قيمتها عن حد معينء ووحدة العمل والمواقع التي توجد بها. 
في حين تحتفظ إدارة التهيئة أيضاً بمعلومات عن العلاقات الموجودة بين الأصولء والتي لا 
تحتفظ بها إدارة الأصول عادة. فبعض المؤسسات تبدأ بإدارة الأصول ومن ثم تنتقل إلى 
إدارة التهيئة. 

إن النشاط الأساسي وال مهم لحوكمة تقنية المعلومات فيما يخص إذارة التهيئة هو تحديد 
المكونات المستقلة المختلفة للعمليات التشغيلية لتقنية ا معلومات» والتي يطلق عليها اسم 
عناصر التهيئة (15©)» ومن ثم تحديد البيانات الرئيسية الداعمة لهذه العناص (15©)» 
كا ذلك "أصحابها". وتحديد البيانات» وأرقام الإصدارات وكذلك العلاقات المتبادلة 
للنظم. ولا بد من الحصول على هذه البيانات وتنظيمها وحفظها في قاعدة بيانات تعرف 
باسم قاعدة بيانات إدارة التهينة (0211(8) .Configuration Management Database‏ 
ويجب على الفريق المسؤول عن إدارة التهيئة أن يقوم باختيار وتعريف هياكل التهيثة 
الخاصة بعناصر تهيئة البنية التحتية بأكملهاء متضمنا ذلك تحديد العلاقات الموجودة بين 
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جميع عناصر التهيئة (015) والمكونات المتصلة في التهيئة الخاصة بمجمل البنية التحتية 
لتقنية المعلومات. وبالانتقال إلى ما هو أبعد من مجرد عملية إدخال البيانات في قاعدة 
بيانات إدارة التهيئة: فإنه يجب أن تضمن العملية أن عناصر التهيئة المصرح بها فقط 
هي التي يتم قبولهاء كما يجب أن تضمن أيضاً عدم إضافة أي عنصر من عناصر التهيئة 
أو تعديله أو استبداله أو إزالته دون أن يكون هناك طلب سليم واضح لإجراء التغيير 
وبمواصفات محدثة. 

يجب علينا التفكير في أهمية عملية إدارة التهيئة من حيث وجود التطبيقات الخاصة 
بتقنية المعلومات في إدارة الأعمال التقليدية. فربما يكون لدى كل عضو من أعضاء الطاقم 
الوظيفي هاتف ذك أو جهاز حاسب محمولء وفي حال عدم وجود إصدارات متناسقة من 
البرامج الموضوعة على كل جهاز من هذه الأجهزة. فمن الممكن أن تكون هناك صعوبات 
في عملية اتصال تلك النظم بعضها مع بعض. هذا يفسر أهمية إدارة التهيئة. فمن المهم 
حقاً أن يكون لديك فهم لمختلف الإصدارات أو حتى الأنواع المتعددة للبرمجيات والمعدات 
في إدارات التشغيل الكبيرة لتقنية المعلومات. 

تتضمن عملية إدارة التهيئة عناصر تحكم مهمة بالنسبة لمجمل عملية حوكمة تقنية 
المعلومات الفعالة. لذا يجب أن يحتفظ فريق تقنية المعلومات والمسؤول عن عملية 
إدارة التهيئة بسجلات عن حالة كل عنصر من عناصر التهيئة (01©) وتتبع حالته عندما 
تتغير من حالة لأخرىء فعلى سبيل المثالء قد تتغير حالة العنصر من مرحلة التطوير 
إلى مرحلة الاختبا. ومن ثم إلى مرحلة الإنتاجية. ومن ثم إلى مرحلة الإيقاف أو سحبه 
في نهاية الأمر. تعد قاعدة بيانات إدارة التهيئة مستودعاً لعناصر التهيئة» وليس من 
الضروري أن تكون قاعدة البيانات عبارة عن تطبيق معقد ومتخصص. فمثلاً يمكن لأي 
مؤسسة أن تقوم بإنشاء قاعدة بيانات بسيطة لإدارة التهيئة 02/1108 فقط باستخدام 
جداول البيانات أو باستخدام نظم قواعد البيانات المحلية. وفي ظل وجود البنية التحتية 
الكبيرة والمعقدة لتقنية المعلومات اليوم» فإن إدارة التهيئة تتطلب غالباً استخدام 
المكتبات الطبيعية والإلكترونية جنبا إلى جنب مع قاعدة بيانات إدارة التهيئة للاحتفاظ 
بنسخ محددة لجميع البرامج والوثائق الداعمة. وينبغي أن تستند قاعدة بيانات إدارة 
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التهيئة إلى تقنية قاعدة البيانات التي توفر وسائل استعلام مرنة وقوية وتحدد العلاقات 
بين جميع مكونات النظام. 

ترتبط عملية إدارة التهيئة مباشرة بعمليات إدارة تطوير واختبار وتغيير وإطلاق النظم 
للجمع بين المنتجات الجديدة والمحدثة. وبالإضافة إلى ذلك فإن قاعدة بيانات إدارة 
التهيئة 02118 كن استخدامها من قبل عملية إدارة مستوى الخدمة للاحتفاظ بتفاصيل 
الخدمات وربط هذه الخدمات مع مكونات تقنية المعلومات التابعة لها. كما هكن أيضاً أن 
تستخدم قاعدة بيانات إدارة التهيئة لتخزين تفاصيل المخزون الخاصة بعناصر التهيئة 0[15: 
مثل المردء والتكلفة, وتاريخ الشراء وتاريخ تجديد الترخيص. كما أن هناك ميزة إضافية 
تتمثل في استخدام قاعدة بيانات إدارة التهيئة لتغطية الجوانب القانونية المرتبطة بالحفاظ 
على التراخيص والعقود. 


عمليات تشغيل الخدمة في آيتل: 

لقد بدأت أفضل ممارسات آيتل الموصوفة في هذا الفصل بأهمية وضع إستراتيجيات 
للخدمة: والتي تتضمن السياسات الرئيسية لتقنية المعلومات والمجالات ذات المستوى 
العالي كالإدارة المالية لتقنية المعلومات. أما بالنسبة للعملية الاعتيادية الخاصة بإطلاق 
موارد تقنية المعلومات» فإن المجموعة التالية من أفضل الممارسات تغطي تصميم الخدمة, 
وهي العمليات التي تتناول سعة وإتاحة تقنية ا معلومات» وكذلك إدارة مستوى الخدمة 
لتتفق مع مستخدمي خدمات تقنية المعلومات فيما يتعلق بالخدمات التي سيتم تقدهها. 
ويطلق على هذه العمليات الثلاث الأخيرة في آيتل اسم عمليات تشغيل الخدمة 0 
العملية التي تتيح لعملاء الأعمال رؤية جودة خدمات تقنية المعلومات التي يتم تقد 

تتضمن العمليات التشغيلية للخدمات القيمة اليومية للخدمات التي ينبغي تقدهها 
بواسطة نظم وعمليات تقنية المعلومات. إن الغرض من عملية تشغيل الخدمة في آيتل هو 
المساعدة في تنسيق وتقديم خدمات تقنية المعلومات للعملاء. كان هذا هو مفهوم القيمة 
الذي كان غالباً مفقودا في الأيام الأولى لعمليات تشغيل تقنية المعلوماتء إلا أن أفضل 
ال ممارسات في آيتل قد قامت بتقريب هذه المفاهيم المتعلقة باحتياجات العمل والإدارة. 
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تحدد عمليات تشغيل الخدمة في آيتل عمليات منفصلة لتشغيل الخدمة. وذلك فيما 
يخص إدارة الأحداث events‏ والحوادث120625, حيث يتم تعريف الأحداث على أنها 
أي واقعة هكن اكتشافها ويكون لها تأثير في إدارة البنية التحتية لتقنية المعلومات أو 
تقديم الخدمات المتعلقة بتقنية المعلومات. وعلى الرغم من أن آيتل يحدد العديد من 
أوجه الشبه بين ما يسمى الأحداث والحوادث في آيتل إلا أن نقاشنا هنا سوف يركز على 
إدارة الحوادث (الأعطال). ذلك أن التنفيذ الفعال لهذه العمليات سوف يحسن من مجمل 
عمليات التشغيل الخاصة بحوكمة تقنية ال معلومات. 


إدارة الأحداث والحوادث الخاصة بتشغيل الخدمة: 

تتضمن عمليات إدارة الحوادث جميع الأنشطة اللازمة لاستعادة خدمات تقنية 
المعلومات بعد انقطاعها. يعرف آيتل الانقطاع أو العطل على أنه أي نوع من أنواع المشاكل 
التي قد تحرم مستخدم تقنية المعلومات من الحصول على الخدمات المناسبة امتوقعةء سواء 
كانت توقفاً لكامل النظام أم عدم قدرة المستخدم على الوصول إلى تطبيق ما لأي سبب من 
الأسباب الكثيرة جداً أو عدم نجاح عملية الدخول بسبب خطأ مطبعي في كتابة كلمة المرور 
ناجم عن مشكلة "زلات الأصابع“ 8128615 ۴۲" أو أي مشكلة أخرى. ويطلق على المشكلة 
المبلغ عنها اسم الحادثة. وهي نوع من أنواع الانحراف عن عمليات التشغيل القياسية. 
وعلى الرغم من أن العديد من إدارات تشغيل تقنية المعلومات تمتلك إدارة تسمى مكتب 
المساعدة أو مجموعة دعم العملاء فإن هذه الإدارة العامة يشار إليها هنا باسم مكتب 
الخدمة. فمكتب الخدمة يكون عادةً هو صاحب عملية إدارة الحوادث؛ على الرغم من 
أن كل مجموعات دعم الخدمات عبر تقنية المعلومات قد يكون لها دور في إدارة الحوادث. 

إن الهدف من العمليات الفعالة لإدارة الحوادث هو استعادة العمليات التشغيلية 
الاعتيادية في أسرع وقت ممكن وبطريقة فعالة من حيث التكلفة وبأقل تأثير ممكنء سواء 
كان التأثير في الأعمال بكاملها أم في المستخدمين. ولا ينبغي أن يكون ما تعنيه "السرعة" 
هنا موضعاً للتأويل أو التفسير» حيث يدعو آيتل إلى تحديد المعايير الخاصة بالإطار الزمني 
لاستعادة الخدمات في اتفاقيات مستوى الخدمة التي تحدثنا عنها في الفصل السابع عشر 


(*) هي مشكلة تقع نتيجة مدخلات خاطئة من خلال لوحة مفاتيح الحاسب الآلي (المترجم). 
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من هذا الكتاب. إن الاتفاقيات الفعالة لمستوى الخدمات 51.45 هي إحدى المكونات 
الهامة في البنية التحتية لتقنية المعلومات» فوجودها مهم بالنسبة للممارسات الخاصة 
بحوكمة تقنية المعلومات. فالعنصر الأول في عملية إدارة الحوادث في آيتل هو اكتشاف 
الحادثة وتوثيقها من قبل مكتب الخدمة» كونه النقطة الوحيدة للاتصال. ويمكن أن تشمل 
هذه الخؤادث :مسنائل مقل أن يقوم المستخدم بالاتصال بسبب وجود مشاكل معينة في 
التطبيق أو أن تقوم العمليات التشغيلية لتقنية المعلومات بإعلام مكتب الخدمة بإحدى 
المشاكل المتعلقة معالجة التطبيق. 

بمجرد استلام الحادثة» يجب أن يقوم مكتب الخدمة بتصنيفها من حيث أولويتها 
priority‏ وأثرها أعدمددل وإلحاحيتها رع #عإں. إذ إن تحديد أولويات للحوادث المبلغ 
عنها يعد واحداً من أكثر القضايا الهامة في إدارة حوادث تقنية المعلومات. فكل شخص يبلغ 
عن حادثة يعتقد بأنها الأهم على الإطلاق. لذلك فوحدة إدارة الحوادث لديها مهمة صعبة 
تتمثل في تحديد الأولوية النسبية للحادث اْبَلغْ عنه وأهميته وتأثيره في العمل. الشكل 
التوضيحي (0-1) يلخص دورة الحياة لأحد حوادث تقنية المعلومات ابتداءً من الاتصال 
الأول وصولاً إلى الحل والإغلاق. والنقطة الأساسية هنا هي أن نفهم أفضل الممارسات 
الأوصى بها والخاصة كاب الخدفة وان فح عن الإنقافيات الرسمية توق الحدمات: 
على أنها جزء من عملية إدارة مستوى الخدمة» وذلك لتحديد أولويات الحوادث التي 
تحتاج إلى حلء والجهود المبذولة في حلهاء والتعافي من الحوادث. يجب أن تعتمد اتفاقيات 
مستوى الخدمة على مدى تأثير أو مدى حساسية الحادث على وحدة الأعمال التي قامت 
بالتبليغ عنه أو على المؤسسة بأكملها. فيجب على سبيل المثال أن تقوم إدارة الحوادث 
بتقدير عدد المستخدمين المتضررين جراء العطل المبلغ عنه والخاص بإحدى المعدات أو 
الأجهزة المادية. وبالطريقة نفسهاء فإن الإبلاغ عن مشكلة تتعلق بعملية الإقفال المحاسبي 
في نهاية الشهر يجب أن تحدد له درجة أهمية أعلى من الإبلاغ عن مشكلة تتعلق بتطبيق 
يقوم بإصدار أوامر الشراء. 
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شكل توضيحي (0-1) 


دورة حياة إدارة الحوادث في الآيتل 






إجراءات طلب 
الخدمة 








أضف إلى ذلك أنه ينبغي لفت الانتباه إلى إلحاحية الحادث المبلغ عنه. حيث تشير 
الإلحاحينة إل السرعكة اللازمة لحل اة الما تاكى معين: اون اغا خل الوادت 
الكبيرة الأثر بشكل فوري أو افتراضي. في الغالب يكون الإبلاغ عن الحوادث التي تفيد 
بأن مجموعة كبيرة من المستخدمين لا يستطيعون العمل إطلاقاً جراء بعض الانقطاعات في 
الخدمات تكون له درجة إلحاحية أكبر من الإبلاغ الذي يقوم به أحد كبار المديرين لطلب 
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تغيير وظيفة تشغيلية معينة. لذا يجب على فريق إدارة الحوادث التحقيق في الحوادث 
المبلغ عنها في أقرب وقت ممكن لتحديد مداها وتأثيرها. وربما يدل إخفاق أحد المكونات 
الذي يتم اللي غنه على أن هذا الجهاز خارج الخدمة أو أنه متوقف عن العمل. ويكون 
هذا النوع غالا من الحواةث غير محف كرا وتسبياً كن إصلاحة'بسسهولة: في حين قد 
يكون فشل الاتصالاتء الذي رها يؤثر في العديد من وحدات الأعمال الدولية ومن ثم رها 
يؤخر الإقفال المالي الشهريء أكبر بكثير من حيث الحجم والنطاق. 

وبمجرد تسجيل الحادث» يجب أن تبدأ عملية التحقيق والتشخيص. فإن لم يتمكن 
مكتب الخدمة من حل الحادثء فإنه يجب أن يُحيله إلى مستويات أخرى من الدعم الفني 
الخاص بتقنية المعلومات ليقوموا بحلها. وعلى أي حالء ينبغي على جميع الأطراف التي 
تعمل على الحادث الاحتفاظ بالسجلات المتعلقة بالإجراءات التي يقومون بهاء وذلك من 
خلال التعديل على ملف مشترك خاص بتسجيل الحوادث. إذ يمكن حل بعض الحوادث من 
خلال عملية الإصلاح السريع التي يقوم بها مكتب الخدمة» والبعض الآخر يكون من خلال 
قرارات أكثر رسمية؛ أما في حالة المشاكل الأكثر أهمية. فيكون الحل من خلال اتباع الحلول 
البديلة لإعادة الأمور إلى نصابها من خلال عملية جزئية والمطالبة بتقديم طلب رسمي 
Request For Change (RFC)‏ لتغيير النظم أو البائع أو أي شيء نحتاجه إلى إصلاح 
مثل هذه المشاكل ذات الأهمية الكبيرة. وعند وقوع أي حادث: لا بد من تنظيم الجهود 
الإصلاحية المبذولة لحل المشكلة وتنسيقها مع وحدة إدارة الحوادث المالكة للمسألة إلى أن 
يتم إيجاد الحل. ولا بد من الاحتفاظ بالوثائق السليمة للقيام بتتبع الحادث إلى أن يتم 
حله. وقد يتم إغلاق الحادث رسمياً بمجرد أن يتم إصلاح الأمور 1 إذا يحل بسهولة 
فإن الحادث يجب أن رر إلى الوحدة المختصة بعملية إدارة المشاكل كما سنوضح لاحقاً. 

ترتبط جميع عمليات آيتل إلى حد ما بعضها مع بعض» ولكن في العديد من الحالات تمثل 
إدارة الحوادث خط الدعم الأول بين مستخدمي أو عملاء خدمات تقنية المعلومات وإدارة 
تقنية العلومات نفسها. لدا فجت أن تكون [ذازة الحوادث أك تنظيما هن "كانتب اللشاعنة* 
التي كانت موجودة في السابق عندما كان المستخدمون الذين يقومون بالتبليغ عن المشاكل 
لا يحصلون في الغالب على المساعدة الكافية والتي ربما لا تتجاوز القيام بإعادة تعيين كلمة 
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المرور. إن إدارة الحوادث هي نقطة الاتصال الأولى بين العملاء - المستخدمين - وإدارة تقنية 
المعلومات بشكل عام. تنشأ الحوادث,» نتيجة الأعطال أو الأخطاء في البنية التحتية لتقنية 
ا معلومات» والتي تؤدي إلى انحرافات حقيقية أو محتملة في العمليات التشغيلية المخطط لها 
للخدمات. في بعض الأحيان ربما يكون سبب وقوع هذه الحوادث واضحاً ويمكن معالجته أو 
إصلاحة دون الحاجة إلى مزيد من التحقيقات. وفي حالات أخرى من الممكن أن يكون هناك 
حاجة لإجراء إصلاحات في المعدات أو البرمجيات. الأمر الذي يستغرق بعض الوقت لتنفيذه. 
قد تكون الحلول قصيرة المدى حلولاً بديلة للحادث» وهي اعلا را للعودة إلى عملية 
التشغيل. أو قد تكون طلب تغيير Request For Change (RFC)‏ نا موخها لعملية 
إدارة التغيير لإزالة الخطأ. أحد الأمثلة على الحلول البديلة أو الحلول القصيرة المدى؛ هو 
مطالبة العميل بأن يقوم بإعادة تشغيل جهاز الحاسب الشخصي أو إعادة ضبط الإعدادات 
الخاصة بخطوط الإتصالات دون التطرق مباشرة إلى السبب الحقيقي لحدوث المشكلة. 

عندما يكون السبب الحقيقي للحادث غير معروف» فإنه يكون من المناسب رفع سجل 
مشكة لخطأ غير معروف في البنية التحتية. ويتم رفع سجل المشكلة فقط في حال كانت 
عمليات التحقيق مضمونة ومكفولةء ويكون من الواجب تقييم تأثيرها الفعلي وا محتمل. 
فنجاح معالجة سجل المشكلة سيؤدي إلى تحديد الخطأ الأساسي. ويمكن تحويل حالة 
السجل بعد ذلك إلى خطأ معروف بمجرد إيجاد حل بديل و / أو 8580. 


إدارة المشاكل الخاصة بتشغيل الخدمة: 

عندما تواجه عملية إدارة الحوادث انحراف نتيجة سبب أو علة غير معروفةء فإنه يجب 
أن تمرر تلك الحادثة إلى عملية إدارة المشاكل في آيتل لحلها. والهدف من ذلك هو تقليل 
التأثير الكلي للمشاكل من خلال عملية رسمية للكشف والإصلاح» والقيام باتخاذ الإجراءات 
اللازمة لمنع تكرارها. إن عملية إدارة المشاكل هي الخطوة التالية في مدى أهمية بعض 
الحوادث المبلغ عنهاء وينبغي النظر إلى هذه العملية من حيث ثلاث عمليات فرعية: إدارة 
مراقبة المشاكل وإدارة مراقبة الأخطاء والإدارة الرائدة للمشاكل. يعرف آيتل "المشكلة 
"Problem‏ على أنها السبب الرئيسي غير المعروف ينتج عنه واحد أو أكثر من الحوادث. 
ويُعرف "الخطأ ا معروف 8101 120172" على أنه مشكلة قد تم تشخيصها بنجاح وتعريف 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات 140 


الفصل السادس 


الحل البديل لها. ليس ضرورياً أن تكون الفكرة هنا هي إيجاد وحدة إدارية ثانية في إدارة 
تقنية المعلومات لكي تستقبل الحوادث المبلغ عنها لدى مكتب المساعدة» ولكن الفكرة هي 
أن يُحدد متى وكيف يجب أن يتم تمرير بعض حوادث مكتب المساعدة المبلغ عنها إلى 
شخص أو سلطة أخرى لتشخيص المسألة المبلغ عنها بشكل أفضل والتعامل معها على أنها 
مشكلة. إن العملية الفعالة لإدارة المشكلة يمكنها أن تفعل الكثير لتحسين مجمل الخدمة 
المقدمة لعملاء تقنية المعلومات. 

بالإضافة إلى حل أي حادث فردي يتم إرساله إلى عملية إدارة المشاكل؛ فإنه ينبغي على 
تقنية المعلومات أن تسعى لإيجاد عمليات لتحسين التحكم في المشاكل والأخطاء. متضمناً 
ذلك الحفاظ على البيانات للمساعدة في تحديد الاتجاهات واقتراح إجراءات محسنة للوقاية 
الاستباقية من المشاكل. لذا لا بد من الاحتفاظ بالمعلومات المتعلقة بالحلول و/أو الحلول 
البديلة الخاصة بالمشاكل التي تم حلهاء بالإضافة إلى سجلات المشاكل المغلقة. في كثير من 
الحالات. قد تواجه إدارة المشاكل موقفاً يتطلب ضرورة الذهاب إلى خطوة أبعد وتقديم 
طلب تغيير 181:0 رسميء إما من خلال إدارة تطوير تقنية المعلومات وإما من خلال بائع 
الأجهزة أو البرامج. 

وتركز عملية إدارة المشاكل على إيجاد أنماط بين الحوادث والمشاكل والأخطاء المعروفة. 
إذ إن المراجعة التفصيلية لهذه الأماط تسمح للمحلل بحل المشكلة عن طريق النظر في 
العديد من الاحتمالات وتقليصها إلى أن يصل إلى الحلء وهذا ما يسمى بتحليل "السبب 
الجذري" 021056 18006. فهناك العديد من التقنيات الجيدة المستخدمة في حل وتصحيح 
المشاكل التي تكون غالبا نتيجة مجموعة من العوامل التقنية وغير التقنية. وتعد إدارة 
المشاكل مجالاً جيداً لتشخيص عمليات تقديم خدمات تقنية المعلومات من أجل تحقيق 
مستوى فهم أفضل للصحة العامة لعمليات تقنية المعلومات. ويمكن جمع المزيد من 
المعلومات من خلال فهم عدد طلبات التغيير 2705 التي تم رفعهاء ومدى تأثير تلك 
الطلبات في إتاحة وموثوقية الخدمات كافة المقدمة في تقنية المعلومات» ومقدار الوقت 
المستغرق في عمل التحقيقات والتشخيص لأنواع مختلفة من المشاكل عن طريق الوحدة 
التنظيمية أو البائعء وعدد وتأثير الحوادث التي تقع قبل أن يتم حل المشكلة الجذرية 
أو تأكيد الخطأ المعروف» والخطط من أجل حل المشاكل المفتوحة فيما يتعلق بالأفراد 
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والاحتياجات الأخرى من الموارد. وكذلك التكاليف ذات الصلة والمبالغ المرصودة في الميزانية. 

تعد عمليات إدارة المشاكل الخاصة بتشغيل خدمات تقنية المعلومات في آيتل من 
الأمور الهامة من أجل فهم وتقييم الصحة العامة لعمليات تشغيل البنية التحتية لتقنية 
المعلومات. فالعملية الفعالة لإدارة الحوادث تكون ضرورية لاستقبال مكالمات العملاء 
واتخاذ الإجراءات التصحيحية الفورية» في حين أن عملية الإدارة الفعالة للمشاكل قد تذهب 
خطوة أبعد من ذلك حيث تعمل على تحليل وحل المشكلة من خلال البدء في تقديم 
طلبات التغيير 1108 عند الضرورة: وفيما عدا ذلك فإنها تعمل على تحسين رضا العملاء. 


حوكمة تقنية المعلومات وأفضل ممارسات تقديم الخدمة في آيتل: 

أوجزت الفقرات السابقة بعض عمليات دورة حياة إدارة الخدمة الأكثر أهمية في 
آيتل. حيث تقوم إدارة الخدمات في آيتل بوضع الخطوط العريضة لعمليات إطلاق وإدارة 
وضبط جميع مستويات خدمات تقنية المعلومات مع التأكيد على تحقيق رضا العميل. إن 
إرشادات آيتل تذهب إلى ما هو أبعد من الرقابة الداخليةء فهي تشمل إدارة تكاليف تقنية 
امعلومات» ووضع القياسات واممقاييس» وغيرها من قياسات تحسين الجودة. 

يدعو آيتل أي إدارة من إدارات تقنية المعلومات إلى أن تقوم ببناء برنامج للتحسين 
المستمر للخدمات من أجل مراجعة وتحليل وتقديم توصيات بشأن فرص التحسين في 
كل مرحلة من مراحل دورة حياة تقديم الخدمات في آيتل والتي تمت مناقشتها في هذه 
الأقسام. إن عمليات دورة حياة إدارة الخدمة في آيتل قد تم اعتمادها بشكل متزايد من 
خلال إدارات تقنية المعلومات في جميع أنحاء العالم. إذ إن التركيز على الخدمة يرفع أهمية 
موارد تقنية المعلومات والبنية التحتية الداعمة لها بالنسبة للمؤسسة بكاملها وعملائها 
وأصحاب المصلحة فيها. 

إن دورة حياة إدارة الخدمة في آيتل عباره عن سلسلة من العمليات المترابطة لأفضل 
الممارسات التي تدعم إدارة البنية التحتية لتقنية المعلومات وإدارة المؤسسة. إن تطبيقات 
تقنية المعلومات تقع في وسط هذه المعضلة وتمثل منطقة مركزية رئيسية لاهتمامات الرقابة 
الداخلية وحوكمة تقنية المعلومات. وفي حين أن عمليات إدارة المشاكل والحوادث والتغيير 
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في آيتل » من بين أمور أخرىء تميل إلى الدعوة إلى إنشاء إدارة كبيرة جداً لتقنية المعلومات 
متو نات متعدذة من وارد البقرية والإدازية. فإنه كن أيضا تطريق هده جارات 
المشلى الموجودة في آيتل على مؤسسة أصغر من ذلك بكثير. حيث يمكن تطبيق آيتل على 
جميع إدارات تقنية المعلومات بمختلف أحجامها! وحتى تكون المؤسسة متوافقة مع آيتل 
فانها لا تحتاج إلى مستويات متعددة من موظفي الدعم» بل تحتاج إلى النظر في مختلف 
عمليات دعم وتقديم الخدمات من منظور أفضل الممارسات في آيتل. قد لا تحتاج إدارة 
صغيرة لتقنية المعلومات إلى إنشاء إدارات منفصلة لإدارة الحوادث وإدارة المشاكل مثلاً. ولكن 
يجب أن ننظر في كل منها على أنها عمليات منفصلة مع إجراءات رقابية فريدة ومميزة. حتى 
وإن كانت إدارات تقنية المعلومات في المؤسسة صغيرة جد فإنها ينبغي أن تُعَامل كل مجال 
من جات العملنات ةة فى آي ان أنه مجال ممتقل من أجل تحشينالخملنات: 

تعد البنية التحتية لتقنية المعلومات أحد المجالات الهامة لحوكمة تقنية المعلومات. في 
كثير من الأحيانء قد ركز كبار مديري تقنية المعلومات وغيرهم من كبار المديرين اهتمامهم 
على الضوابط الخاصة بالتطبيقات والضوابط العامة لتقنية المعلومات التي كانت موجودة 
في الماضي. أما في عالم اليوم الذي يتسم بالعمليات المعقدة التي تدعم البنية التحتية لتقنية 
ا معلومات» فإن عمليات آيتل المبينة في هذا الفصل تصف بعض المجالات الممتازة للعناية 
بحوكمة تقنية المعلومات. 


ملاحظة 
-١‏ كتب الآيتل متاحة من خلال مكتب ال مملكة المتحدة والذي يسمى مكتب ال مكتبة 
(150).: والذي يمكن العثور عليه في الموقع .www.tsoshop.co.uk‏ 
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معايير حوكمة تقنية المعلومات: أيزو 90١1‏ و۲۷۰۰۲ و0٠80‏ 


في الأعوام التي تلت الحرب العالمية الثانيةء برزت الولايات المتحدة زعيماً اقتصادياً 
وسياسياً عالمياً. وبسبب هذه الهيمنة. فقد تجاهل الكثيرون في الولايات المتحدة المعايير 
المتعلقة بأفضل الممارسات التجارية التي تم تطويرها واستخدامها في أماكن أخرى من 
اقتصادنا العالمي المترابط. إن هذه المعايير الدولية لأفضل الممارسات هي نتاج جهود تعاونية 
تأخذ بعين الاعتبار مجموعة واسعة من الاحتياجات والمتطلبات المحلية. إن مصدر العديد 
من هذه المعايير هو منظمة المقاييس وال مواصفات الدولية International Standards‏ 
anton )150:19191:150.018(‏ وهي هيئة يقع مقرها في جنيف بسويسراء وقد 
قامت بإصدار المعايير المعتمدة والمتعارف عليها والتي تغطي مجموعة واسعة من المجالات 
بدءاً من المواصفات الخاصة بأسنان التثبيت الملولبة المستخدمة في محركات السيارات 
إل تمك نظاقة الاضقماق الأسخصية ووضولاً إل معانو الكو ةة الخاضة يتقثية المعلومات: 
وقد تم توسيع هذه المعايير على مر السنين لتشمل العديد من المجالات التي تعتبر مهمة 
E EO‏ 

لا بد أن يتمتع كبار المديرين التنفيذيين بمستوى فهم معين لأدوار معايير الأيزو وأي 
منها تناسب مؤسساتهم» كما يجب عليهم فهم المعايير الهامة بالنسبة لحوكمة فعالة 
لتقنية المعلومات. ويستعرض هذا الفصل ثلاثة من هذه المعايير التي تعتبر مهمة بالنسبة 
للممارسات الفعالة لحوكمة تقنية ا لمعلومات. وبعد مناقشة بعض ال معلومات الأساسية 
عن كيفية تطوير تلك المعايير الخاصة بأيزو وسبب أهميتهاء فإننا سنقوم بتسليط الضوء 
أولاً على المعيار العالمي الذي يطلق عليه اسم أيزو 5٠0١‏ (9001 150): وعلى الرغم 
من عدم تركيز هذا ا معيار على قضايا حوكمة تقنية المعلومات على وجه الخصوصء فإن 
المبادئ التي جاءت في هذا المعيار قد شجعت العديد من المؤسسات على الصعيد العالمي 
على وضع وتنفيذ الممارسات الخاصة بجودة الإنتاج والعمليات التجارية الأخرى بصورة 


مستمره. 
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وعلى الرغم من وجود مجموعة كبيرة من معايير الأيزو التي قد يمكن تطبيقها على 
حوكمة تقنية ا معلومات. فإن هذا الفصل سيقوم باستعراض اثنين من تلك المعايير وبيان 
أهميتها وهما: أيزو ۲۷۰۰۲ (27002 150) وأيزو 780٠٠‏ (38500 150). واستكمالاً 
لحديثنا عن اتفاقيات مستوى الخدمة 51.85 التي تم تقدهها في الفصل السابع عشر 
من هذا الكتاب» فإن هذه المعايير تعمل على توضيح إطار العمل من أعلى إلى أسفل 
للقيام بتحديد ملامح عمليات إدارة الخدمات الضرورية لتقديم خدمات عالية الجودة. قد 
يكون فهم اللعانير اللناسنة التظمة لازو 190 أمرا هاما بالتسية لحض اللمارساة النخاضة 
بحوكمة تقنية المعلومات. فعلى الرغم من أن هذه المعايير يتم تطبيقها غالبا من خلال 
إذازة الخودة أو خد الإدازات با وة فاته :يتوج عل لديز الأول أن يكون هلما 
بأهمية تلك المعايير ومجمل عمليات الأيزو. 


معلومات أساسية عن معايير الأيزو: 

قد يكون (مصطاح الأيزو) مربكاً بعض الشيء بالنسبة للبعضء فهو يشير إلى منظمة 
المقاييس والمواصفات الدولية Standards Organization‏ 1160340031. وهي عبارة 
عن هيئة متخصصة في وضع المعايير العالمية» يقع مقرها في مدينة جنيف بسويسرا. وهي 
الجهة المسؤولة عن تطوير ونشر مجموعة واسعة من المعايير الدولية التي تتعلق بالعديد 
مت الاك وإحراء اك الأعمال: بعص ماو ازو تناما حذا اهار ايز اندو 
(14001 150) » وهو ال معيار الذي يحدد المتطلبات الخاصة بالنظم الفعالة للإدارة البيئية, 
في كين يكون البعض الخد متها امفصلا ودقيقا: كا معيار الذي يتناول المواصفات الخاصة 
بحجم وسمك بطاقات الائتمان البلاستيكية. تعود أهمية المعايير الواسعة للأيزو إلى أنها 
تسمح لجميع المؤسسات على مستوى العام باستخدام اللغة نفسهاء وذلك عندما تصرح 
تلك المؤسسات بأن لديها المعيار نفسه» وليكن على سبيل ا مثالء معيار النظام الفعال 
للإدارة البيئية أيزو 14001. كما أن هناك العديد من المعايير الأكثر تفصيلاً والتي تعتبر 
هامة وحساسة للغايةء مثل تلك الخاصة بماكينة الصراف الآلي وا موجودة في كل أنحاء العام 
والتي تتوقع أن تستقبل جميعها بطاقات ائتمان لها الحجم والسّمّكَ نفسهما. 
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معايير حوكمة تقنية ا معلومات: أيزو ٩۰۰۱‏ و۲۷۰۰۲ و۲۸۰۰ 


يتم تطوير معايير الأيزو من خلال تضافر جهود العديد من المنظمات الوطنية ا معنية 
بوضع ا معاييرء مثل المعهد الأمر يكي للمعايير الوطنية American National Standards‏ 
[stitute‏ أو غيره من المجموعات المنتشرة في جميع أنحاء العام. تبدأ عملية وضع 
المعايير بشكل عام بضرورة معروفة تُحثّم وجود معيار في مجال ما. مثال على ذلك معيار 
أيزو ۲۷٠١١‏ (27001 180) والذي يقوم بتحديد متطلبات رفيعة المستوى لنظام فعال 
لإدارة أمن المعلومات. وقد تم تطوير هذا المعيار من خلال جهود اللجان الفنية الدولية 
التي ترعاها منظمة الأيزو بالتعاون مع اللجنة الدولية الكهروتقنية 1262810021 
Etr technica] Commission‏ وهي إحدى الهيئات المعنية بوضع المعايير الدولية. لا 
يحتوي هذا المعيار على أية متطلبات تفصيلية» لكنه يحتوي على عبارات رفيعة المستوى 
على غرار ذكر "يجب على المؤسسة". في بعض الممجالات» يتم وضع هذا النوع من الإرشادات 
في الإجراءات المتعلقة بعملية تدقيق تقنية المعلومات التي تم الحديث عنها في العديد من 
فصول هذا الكتاب. 

ونظراً لمشاركة العديد من الهيئات الحكومية الدولية وا مجموعات المهنية والخبراء 
المستقلين في عملية وضع معايير الأيزوء فإن عملية بناء واعتماد أي وثيقة من وثائق منظمة 
الأيزو تحتاج غالباً إلى وقت طويل. حيث تقوم لجنة من الخبراء بتطوير مسودة مبدئية 
للمعيار الذي يغطي مجالاً ماء بعد ذلك يتم إرسال تلك المسودة للمراجعة وإبداء الرأي 
قبل تاريخ محدد. ثم تقوم اللجنة في النهاية بمراجعة التعليقات على المسودة قبل أن 
تقوم بإصدار المعيار الجديد أو إرسال مسودة منقحة لإجراء جولة أخرى من المراجعات 
والتغييرات المقترحة. ويتم نشر معيار الأيزو عادة بعد مروره بالعديد من المراحل التي يتم 
من خلالها إعداد المسودات والنظر في التعليقات الخاصة بها. يمكن للمؤسسات بعد ذلك 
أن تقوم باتخاذ الخطوات اللازمة للامتثال لهذا المعيار. ويجب على المؤسسة أن تتعاقد 
مع مدقق خارجي معتمد يمتلك مهارات في هذا المعيار ليقوم بالتصديق على امتثالها لهذا 
المعيار. 

وقد شاركت العديد من المؤسسات الأمريكية للمرة الأولى في هذه المعايير الدولية من 
خلال إطلاق معايير أيزو ٠٠٠١‏ (9000 150) الخاصة بنظام إدارة الجودة في ثمانينيات 
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القرن الماضيء وسيتم مناقشة هذا ا معيار لاحقاً في هذا الفصل. كانت الشركات الأمريكية 
تواجة مشاكل تنافسية بالنسبة للمنتجات التي تخضع معايير تصميم عالية الجودة والتي 
كانت مطبقة في المنتجات غير الأمريكية في ذلك الوقت مثل السيارات اليابانية. فقد قامت 
المؤسسات اليابائية بتصميم العديد من المنتجات العالية الجودة من خلال اتباع ما أصبح 
يعرف بأيزو ٠٠٠١‏ (9000 180)» وبدأ المصنعون في الولايات المتحدة بتعديل العمليات 
الخاصة بهم للامتثال لهذه المعايير الخاصة بالمنتجات ذات الجودة العالية. وقد سمح هذا 
الامتثال بمعيار أيزو ٠٠٠١‏ (9000 180) للمؤسسات في جميع أنحاء العام بتصميم عملياتها 
التشغيلية وفقاً لمعيار واحد ثابت» ومن ثم التأكيد على أن لديهم نظاماً مُفَعَلاً ومعمولاً به 
لإدارة الجودة وفقاً للمعيار الدولي. 

تعد معاييز الأيزو أكتن تحديدا وضيطا من الأزشاذات الخاصة بأفضل المارسات لكتة 
البنية التحتية لتقنية المعلومات (آيتل) والتي تناولنا الحديث عنها في الفصل السادس من 
هذا الكتاب. إذ يتم نشر وضبط هذه المعايير بواسطة منظمة الأيزو التي تقع في جنيف. 
والتي تتبع قوانين صارمة في حقوق التأليف والنشر. فالمواد الخاصة بها لا هكن تحميلها 
من خلال عمليات البحث الاعتيادية على الإنترنت؛ بل لابد من شرائها. إن العديد من 
معابير الأيزو الفعلية عبارة عن توضيحات تفصيلية للغاية للممارسات التي يجب اتباعها. 

تكون الإرشادات واضحة ولا لبس فيها ولا غموض و تشير غالباً إلى أقسام أخرى من 
هذا المعيار لاتباعها. تستطيع المؤسسة أن تقوم باتباع معايير منظمة الأيزو 150 والاعتماد 
عليهاء وذلك على غرار اتباعها لأفضل الممارسات الخاصة بآيتل » إلا أن عدد معايير الأيزو 
أكترابكقير من أفضل الممارسات الموصى بهااق آيقل. “فهي تمثل قايس أداء بالنسية 
للمؤسسة مع نظيراتها. فمن خلال الالتزام والتمسك بتلك المعايير العالمية» هكن للمؤسسة 
التحقق من أنها تعمل وفقاً لمعيار دولي ثابت» فمعايير أيزو ٠١١۸١‏ (13485 180) الخاصة 
بالمتطلبات التنظيمية لإدارة الجودة الخاصة بالأجهزة الطبية تقدم مثالاً على ذلك. حيث 
خد هذ اللخاز.معطلات الخودة الخاضة.باجهزة الرعاية الصحية للإتسان: ومن الأمور 
الأخرى التي يتضمنها هذا المعيارء أنه يدعو المؤسسة التي تقوم بصنع مثل هذه الأجهزة إلى 
أن تقوم بوضع ضوابط المعايرة المناسبة. ونظراً لتنوع أساليب المعايرة» فإن المعيار لا هكن 
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أن نخد أسِلوبا واحدا فخسي: قهواق'جميع الأخوال قرط على المؤسمنات أن يكون 
لديها الآليات المناسبة المعمول بها. 

ومن الأمور الهامة بالنسبة للمؤسسة أن تقوم بقراءة معيار الأيزو وتعديل عملياتها 
للتوافق معه؛ ومن الأمور الجيدة أيضاً بالنسبة للمؤسسة أن تثبت للآخرين أنها تتبع هذا 
المعيار. إن شهادة الأيزو هذه عبارة عن عملية مشابهة لعملية التدقيق الخارجي للسجلات 
المالية التي يقوم بها المحاسبون القانونيون (0285). فعمليات تدقيق القوائم المالية 
تتطلب وجود محاسب قانوني معتمد يعمل مدققاً خارجياً معتمداً لتقييم ما إذا كانت 
تلك التقارير المالية للمنشأة "معلنة بوضوح" وتتّبع ضوابط داخلية جيدة ومعايير محاسبية 
معتمدة ومتعارفاً عليها أم لا. فهي تعد مفردات رفيعة المستوىء إلا أن تقريراً كهذا للتدقيق 
الخارجي الذي يتم التوقيع عليه مع النتائج النهائية المبلغ عنها من شأنه أن يوفر مستوى 
للتأكيد على أن التقارير المالية نزيهة وتستند إلى إجراءات جيدة للرقابة الداخلية. 

إن عملية الخضول غل شهادة الأيزو تقسبه أيضاً عملية التدقيق المالي التي يقوم بها 
ا محاسب القانوني المعتمد والذي يعتمد على التوافق مع معايير التدقيق المقبولة قبولاً عاماً 
(0443) والتي تقوم بها شركات المحاسبة العامة الكبرى. وعلى الرغم من عدم وجود 
الشركات "الأربعة الكبار 8184" هناء أي مجموعة من الشركات الكبرى لتدقيق الأيزو. فإن 
منظمات وضع المعايير تؤهل المراجعين الخارجيين لأداء المراجعة الخارجية لمعايير الأيزو 
المختلفة. حيث لا يوجد للأيزو معايير تدقيق متعارف عليها 648245 ولكن هناك درجة 
كبيرة من التنوع في أهداف التدقيق» فمُراجع معيار أيزو ۲۷٠١١‏ (27001 180) الخاصة 
بنظم إدارة أمن المعلومات سيقوم بالبحت عن الإجراءات“الرقابية االختلفة: وهذا مغايز نمأ 
سيبحث عنه مراجع معيار أيزو ١760‏ (13485 180) الخاصة بنظم إدارة جودة الأجهزة 
الطبية. في جميع الأحوال» فإن e‏ الخارجي المؤهل لتدقيق معايير الأيزو قد يحدد 
الأجزاء التي تحتاج إلى إجراءات تصحيحية ويقوم بإصدار تقرير للإدارة مشابه لعمليات 
التدقيق الداخلي» كما سيتم مناقشته في الفصل التاسع عشر من هذا الكتاب. وجرد أن 
يتم تصحيح توصيات مدقق الأيزوء فإن المراجع الخارجي سوف يشهد بأن ا مؤسسة متوافقة 
مع ا معيار. 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات ۳ 


الفصل السابع 


وبمجرد اعتماد المؤسسة. فإنها تستطيع أن تعلن للعالم الخارجي أن العمليات المتبعة 
لديها ثلبي ذلك المعيار الخاص بالأيزو. على سبيل المثال» فإن أحد الزبائن الذين يتعاملون 
مع أجهزة التشخيص الطبي يريد أن يعرف ما إذا كان الموَرد المحتمل متوافقاً مع معيار 
أيزو (1S0 13485( ۱۳٤۸٩‏ أم لا. وإن هذا المصَنع للجهاز الطبي نفسه سيرغب آنا ف 
الحصول على ضمانات بأن موردي المكونات الأولية لها مؤهلون من قبل الأيزو. وعلى الرغم 


من وجود مجموعه ة كبيرة من معايير الأيزو فإن الأقسام التالية ت تستعرض عدداً من المعايير 
التي لها أهمية بالنسبة للضوابط الداخلية والحوكمة والتي تَعهَد عو ا هاندا عان موی 
العالم في الوقت الراهن. 


معايير الأيزو ٠٠٠١‏ لإدارة الجودة: 

تمتلك معايير الأيزو ٩۰۰۰‏ (9000 180) ترااً يعود تاريخه إلى أيام الحرب العاممية 
الثانية. وذلك عندما كان طرفا الصراع بحاجة إلى توحيد قوي بلواصفات المنتجات أثناء 
القيام بإنتاج العديد منها. حتى وإن كانت هذه المنتجات عبارة عن الرصاص والقنابل» كان 
يجب عليهم العمل بشكل صحيح لتوحيدها. فقد كانت هناك حاجة لفرض رقابة صارمة 
على جودة المنتجات. وظهرت بعض الإجراءات القياسية القوية من جانب الحلفاء الغربيين 
لضمان الجودةء كما ظهرت مهن كالمهندسين الصناعيين وأخصائين للعمل في مراقبة جودة 
الإنتاج. وبعد انتهاء الحرب» تم إنشاء منظمة الأيزو على أنها جزء من الاتفاقية العامة 
للتجارة والتعريفات الجمركية General Agreement on Trade and Tariffs (GATT)‏ 
أو ما يعرف باسم (اتفاقية الجات). وهي إحدى الاتفاقيات الدولية الهادفة إلى جعل العام 
يعيش في بيئة أكثر أمنا. كانت معايير الأيزو ٠٠٠١‏ الخاصة بنظم إدارة الجودة واحدة من 
المعايير الأولى التي أصدرتها منظمة الأيزو. وقد لاقت الاهتمام الأول بها والأكبر من قبل 
البلدان الأوروبية التي كانت تتعافى حديثاً من آثار الحرب. 

وقد كانت اليابان واحدة من البلدان التي بحاجة إلى إعادة الإعمار والتعافي من الحروب» 
وهي البلد التي قامت بتبني نظم إدارة الجودة بشدة في تلك الفترة. وقد قام اليابانييون في 
خمسينيات وستينيات القرن الماضي بتوجيه دعوة لعدد من خبراء أنظمة الجودة الأمريكيين 
مثل دبيلو إدواردز دهینج" 28ذد:126 80103105 :11١‏ وآخرين ليقوموا مد يد العون 
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وا مساعدة لهم في العديد من المصانع اليابانية. وفي الوقت الذي تم فيه تجاهل هؤلاء 
الخبراء إلى حد ما في الولايات المتحدة» قامت الصناعة اليابانية بتبني فلس فتهم وتقنياتهم 
بشكل كبير وملحوظ. وبحلول منتصف السبعينيات من القرن الماضي بدأت الشركات 
اليابانية المصنعة للإلكترونيات والسيارات تشق طريقها بشكل كبير في أسواق الولايات 
المتحدة نظراً لجودة وقيمة منتجاتها. وقد بدأ الكثيرون في الولايات المتحدة في إدراك أن 
هذه المنتجات اليابانية الصنع قد تفوقت على منتجاتهم في كثير من النواحي. فقد أصبحت 
معايير الجودة الخاصة بالأيزو (9000 150) عاملا ذا أهمية متزايدة في قياس وتقييم جودة 
المنتجات في جميع أنحاء العام. 

إن الأيزو 1٠٠١‏ (9000 150) هي عبارة عن عائلة من المعايير الخاصة بنظم إدارة 
الجودة والتي يتم تنظيمها وصياغتها من قبل منظمة الأيزو. وتتضمن هذه المعايير 
متطلبات لأمور مثل: 
٠‏ مراقبة العمليات لضمان أنها فعالة. 
٠‏ حفظ سجلات وافية عن إجراءات العمل. 
٠‏ فحص مخرجات الإنتاج من أجل اكتشاف العيوبء مع بدء الإجراءات التصحيحية ال مناسبة 

عند الضرورة. 

٠‏ مراجعة منتظمة للعمليات الفردية ونظام الجودة الشاملة من أجل الفاعلية. 
تسيل غات التحمة اللسكمن 

يشير كل بند من هذه البنود إلى مجموعة من العمليات» لا إلى إجراءات معينة. ولكي 
تثبت مؤسسة ما أنها متوافقة على سبيل المثال مع الأيزو ٠٠٠١‏ (بالتحديد معيار أيزو 
١‏ ) - والذي يقوم بمتابعة العمليات الرئيسية لتكون أكثر فاعلية فإنه يتوجب عليها في 
كثير من الأحيان أن تقوم بعمل العديد من التغييرات في إجراءاتها الإدارية ووثائقها الداعمة. 
إن الامتثال بأحد معايير الأيزو يخلق أيضا مستوى مطلوبا من التوقعات. فعندما تحصل 
المؤسسة في أي مكان في العالم على مثل هذه المعايير. فهي بذلك تعلن أنها تمتلك أنظمة 
فعالة ومعمولا بها لإدارة الجودة. إن المؤسسة التي يتم تدقيقها واعتمادها بشكل مستقل 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات ۲-0 


الفصل السابع 


لتكون متوافقة مع أيزو 100١‏ على سبيل المثال» قد تعلن صراحة أنها "معتمدة من الأيزو 
1 أو "مسجلة لدى الأيزو ."1٠٠١‏ لا تضمن شهادة معيار أيزو ٠٠١١‏ الامتثال (ومن 
ثم الجودة) للمنتجات والخدمات النهائيةء وإنما هي فقط شهادة تدل على أنه يتم تطبيق 
العمليات التجارية والإنتاجية الملائمة. 

تتم عملية الاعتماد الفعلية من خلال الفحص الذي يقوم به أحد المدققين المعتمدين في 
الأيزو والمتخصصين في معيار محدد من معاييرها. وكما تحدثنا سابقا فان هذه العملية تشبه 
عملية المراجعة والتدقيق التي يقوم بها المحاسبون القانونيون (02805) لاعتماد القوائم 
المالية الخاصة بإحدى المؤسسات. وبالتنسيق مع منظمات المعايير الوطنية لديهم يتم 
التفويض والسماح ملمدققي الأيزو بتسجيل امتثال المؤسسة معيار فريد من معايير الأيزو. 

إن معايير الأيزو 1٠٠١‏ وغيرها من المعايير الأخرى للأيزو تفرض على اللؤسسة متطلبات 
توثيقية ضخمة: فلا يكفي أن تدعي المؤسسة بأنها قامت بتوثيق عملية ما لمرة واحدة فقط. 
بل يجب أن تكون هناك عملية مستمرة لإبقاء هذا التوثيق فعالاً ومستمراً. في السنوات 
الماضية» بذلت العديد من المؤسسات الجهود لتوثيق إحدى المبادرات أو العمليات الجديدة 
للمرة الأولى ولكنها فشلت في المحافظة على هذا التوثيق. وقد تعرض العديد من مدققي 
تقنية المعلومات بمثل هذه الحالات. فكثيراً ما كانوا يسألون عما إذا كان قد تم توثيق 
النظام أو العملية التي هم بصدد مراجعتها حالياً وفي حال كانت الوثائق غير محدثة أو 
غير موجودة, فإن هذا القصور سيظهر غالباً في نتائج التقرير الخاص بعملية التدقيق» وفي 
كثير من الأحيان لا يؤدي ذلك إلا إلى القليل من الإجراءات التصحيحية النهائية. إن الامتثال 
لمعايير الأيزو ٠٠٠٠‏ يرفع سقف المتطلبات الخاصة بعمليات الجودة إلى مستوى جديد كلياً. 
لذا يجب على مراجع الأيزو أن يصدق أو يشهد على امتثال المؤسسة بالمعيار لكي تتمكن 
من الإعلان للعالم الخارجي بأنها متوافقة مع معيار الأيزو. 

إن الأيزو ٠٠٠١‏ هو عبارة عن مجموعة من المعايير الخاصة بنظام الجودة القائم على 
التحسين المستمرء سواء كان ذلك لإحدى المنتجات الصناعية أم العمليات الخدماتية. يوضح 
الشكل التوضيحي )١-۷(‏ تلك العملية الخاصة بنظام إدارة الجودة التي تقودها سلسلة من 
الإجراءات الداخلية للتحسينات المستمرة وطلبات العملاء أيضاً. في هذه العملية ا لمستمرة 
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يجب مراقبة العمليات الموجودة والإجراءات المخطط لها لإدخال التحسينات وعناصر 
الإجراءات التي يتم تنفيذها لعمليات المراقبةء وإدخال المزيد من التحسينات المستقبلية. 
لا تعد عملية التحسين المستمر للجودة من العمليات الجديدة بالنسبة للعديد من كبار 
المديرين. فقد قام محترفو تطوير نظم تقنية المعلومات بالأساس باستخدام المجموعة 
نفسها من العمليات العامة التي كانت موجودة منذ الأيام الأولى لتطوير النظم التقنية في 
عملية تطوير النظم الجديدة في تقنية المعلومات والتي تدعى دورة حياة تطوير النظم 
0 . وقد دعت تلك التطبيقات التي تم تطويرها باستخدام أسلوب عملية دورة حياة 
تطوير النظم 501.0 إلى قدر كبير من الوثائق التي كانت في أغلب الأحيان غير جاهزة. أما 
اليوم فيتم تطوير تطبيقات تقنية المعلومات من خلال عمليات غير رسمية ودورية وسريعة 
بشكل أكبر لتطوير التطبيقات. 

إن التوثيق الصارم والدقيق مهم جداً بالنسبة للمؤسسة التي تسعى للتسجيل في الأيزو 
وهو مطلب عالمي. حيث تدعو أفضل الممارسات في الأيزو إلى اتباع التسلسل الهرمي 
للتوثيق في أي مجالء بدءاً من الإرشادات الرفيعة المستوى التي توضح أسباب الممارسة, 
وصولاً إلى التعليمات التفصيلية التي توضح الكيفيات التي تتم من خلالها الممارسة. الشكل 
التوضيحي (۲-۷) يعرض هذا التسلسل الهرمي للتوثيق حيث تم وضع "النماذج والوثائق" 
في الجزء السفلي من المثلث» والتي تعمل على توفير الأدلة والبراهين. فهذا التوثيق ضروري 
وأساسي لدعم نظام إدارة الجودة: ومن المؤكد أنه يُطلب من قبل مدققي التصديق 
الخارجين للأيزو. 

لقد وفر هذا القتسم وصفاً رفيع المستوى جداً لمعايير الأيزو ٠٠٠١‏ الخاصة بعملية 
إدارة الجودة. ومع ذلك قد يتساءل القارئ: "لماذا يجب علي الاهتمام بالأيزوء وما الذي 
لديها لتقدمه لحوكمة تقنية المعلومات؟" نقولء إن التوافق مع هذه العمليات الخاصة 
بالأيزو ٠٠٠١‏ مهم بالنسبة لجميع أنواع المؤسسات لتعلن للإدارة الداخلية الخاصة بها 
وللعام الخارجي بأنها تركز على الجودة. ومثال على ذلك» في عام 1990 أصبح المعهد 
الأمريكي للمحاسبين القانونيين أول منظمة مهنية عالمية كبرى معتمدة وحاصلة على 
شهادة الأيزو .۹٠٠١‏ فمن الواجب أن تقوم جميع المنظمات على مختلف المستويات 
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بالنظر في تبني عمليات الأيزو .٠٠٠١‏ فكثير من الإعلانات الموجودة اليوم لكثير من 
المنتجات أو الخدمات المعروضة تصرح أو تذكر أن البائع حاصل على شهادة الجودة 
ومعتمد من قبل منظمة الأيزو ويستطيع أي عميل طلب المزيد من المعلومات التي 
تتعلق بمستوى هذه الشهادة قبل أن يقرر إتمام عملية الشراء. 

شكل توضيحي (۱-۷) 


عملية نظام إدارة الجودة 


5 التحسين المستمر لنظام إدارة الجودة 








۸ 
1 
احتياجات رضا 
العميل 


تحدد معايير الأيزو بعض أفضل الممارسات الرفيعة في العديد من مجالات العمليات 
التشغيلية لتقنية المعلومات. حتى وإن كانت المؤسسة لا تسير بنسبة مئة في المئة في 
استكمال جميع المتطلبات الخاصة بأحد معايير الأيزو وتكمل متطلبات التدقيق الخاصة 
بالأيزوء فإن المعايير سوف توفر بعض الإرشادات القوية والمثبتة لبناء عمليات داخلية قوية. 
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معايير حوكمة تقنية المعلومات: أيزو ٩۰۰۱‏ و۲۷۰۰۲ و۴۸۰۰ 
تناقش الأقسام التالية مزيد من التفصيل المتطلبات الخاصة باثنين من هذه المعايير التى 
تعتبر مهمة بالنسبة للعمليات الفعالة لحوكمة تقنية ا معلومات. 
شكل توضيحي (۲-۷) 


هرمية الوثائق في الأيزو 











دليل الجودة الذي 
يحدد السياسة 


الإجراءات 
الد 5 التفصيلية 


أوامر توسيع 
السياسة 


الوثائق واللماذج 


معايير الأيزو الخاصة بأمن تقنية المعلومات: أيزو ۲۷٠١۲‏ و ٠١١‏ ل/الا: 

إن أيزو ۲۷٠١۲‏ (27002 180) هو عبارة عن معيار هام في النواحي الأمنية المرتبطة 
بتقنية ا معلومات» ومصمم لمساعدة أي مؤسسة تحتاج إلى وضع برنامج شامل لإدارة أمن 
المعلومات أو تحسين ممارساتها الحالية اللتعلقة بأمن امحلومات: وبعيداً عن موضوعات 
الحوكمة وأمن تقنية ا معلومات التي نُوقشت في الفصل العاشر من هذا الكتاب» فإن أيزو 
۲ يعد أحد المعايير التي تخص طائفة عريضة من مصادر المعلومات وأمن المعلومات 
بشكل عام. ولأن هناك العديد من الأشكال التي يمكن أن تتواجد بها مثل هذه البيانات» فإن 
المعيار يأخذ نهجاً موسعاً ويحتوي على مجموعة كبيرة من المعايير الأمنية التي تتعلق بالتالي: 
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« الملفات الإلكترونية للبيانات والبرمجيات. 
٠‏ جميع أشكال اللسعدات الورقية. متضمنا ذلك ؤاد المطبوغة واكلاعظات اللكتوية خط 
اليد والصور. 

٠‏ تسجيلات الفيديو والتسجيلات الصوتية. 
٠‏ ا محادثات الهاتفية وكذلك البريد الإلكتروني والفاكس والفيديو وغيرها من أشكال الرسائل. 

الفكرة هنا هي أن المعلومات بجميع أشكالها لها قيمة وبحاجة إلى حماية» تماماً كأي 
أصل من الأصول الأخرى الموجودة في الشركة. إن العديد من اممؤسسات اليوم لا تضع حتى 
تلك المعايير الأمنية في الحسبان فيما يتعلق بتلك المجالات الواسعةء لكن معيار أيؤو يشير 
إلى أنه لا بد من تضمين هذه المعايير الأمنية قدر المستطاع. كما يقترح أيضاً ضرورة حماية 
البنية التحتية التي تدعم هذه المعلومات, والتي تتضمن الشبكات والنظم والوظائف من 
مجموعة واسعة من التهديدات. والتي تتضمن أي شيء ابتداءً من الأخطاء البشرية وتعطل 
امعدات إلى أن يصل إلى السرقة والاحتيال والأعمال التخريبية من خارج المؤسسة والتخريب 
المتعمد من قبل العاملين في المؤسسة والحريق والفيضانات وحتى الإرهاب. 

وعلى غرار جميع المعايير الأخرى لمنظمة الأيزو. فإن هذا المعيار ا منشور لا يقوم حقيقة 
بوصف ما هو المطلوب على وجه التحديد. لكنه يحدد المجالات التي تحتاج إلى معايير 
تتعلق بالأمن. الشكل التوضيحي (۳-۷) يوضح اللموضوعات الرئيسية لمعيار أيزو ١٠‏ ٠/الا.‏ 
فا معيار لا يحتوي على المتطلبات التفصيلية لكل من هذه المجالات - فا معيار الدولي 
الشامل والثابت يتطلب نصاً شاملاً ومكثفاً ولكن لن يكون شاملاً للجميع» ؛ وقد يصبح غير 
صالح. فد من دلق عاق تيل ابال دغ السطر ©0 إل امعان اة الخاضة 
بسياسات وصول الشريك الخارجي أو ما يسمى الطرف الثالث ,۴۵۲۲ 111۲۵ للبيانات. 
فالأيزو يدعو إلى أن يكون لدى المؤسسة عمليات موثقة ومعتمدة تشمل السياسات التي 
تحكم وصول الشريك الخارجي أو الطرف الثالث إلى البيانات والنظم. لذا يجب على 
المنشأة أن تضع معايير وإجراءات أكثر تفصيلاً خاصة بها في هذا المجال. إن نوع ومدى 
هذه المعايير يمكن أن يعتمد على عوامل كثيرة. لذا يجب أن تقوم المؤسسة الممتثلة لمعيار 
الأيزو 77٠١٠‏ بمعالجة هذه القضية جنباً إلى جنب مع المجالات الأخرى في المعيار. 
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الشكل التوضيحي (/-7) 
مجالات موضوع معايير الأيزو ۲۷۰١۰۲‏ 

يسرد هذا الملخص مجالات الموضوعات الرفيعة المستوى الموجودة في هذا المعيار 
الصادر من منظمة الأيزو (27002 150). الخطوط العريضة الفعلية للمعيار تنخفض 
إل :مسكوياث معمددة وأكز تفصَيلاً لكل:نقظة:من الثقاظ: هذا الوق مق اخلط 
التفصيلي يعتبر نموذجاً لجميع معايير الأيزو. 
-١‏ النطاق: وصف رفيع المستوى لتطبيق هذا المعيار. 
؟- المصطلحات والتعريفات: بما يتفق مع معايير الأيزو الأخرى فإن المصطلحات الرئيسية 

كافة يتم تعريفها (على سبيل ال مثال» تعريف المقصود ب "السرية"). 
*- المعايير أو الحاجة إلى سياسة عالية المستوى لأمن المعلومات. 
-٤‏ المتطلبات اللازمة للإدارة الأمنية في المؤسسة: 

٠-٤‏ البنية التحتية لأمن المعلومات. 

۲-٤‏ السياسات الأمنية ووصول الطرف الثالث. 

٠-٤‏ اعتبارات الاستعانة مصادر خارجية (اعتبارات التعاقد الخارجي). 
0- معايير تصنيف الأصول والرقابة: 

1-0 المساءلة عن الأصول. 

٥‏ تصنيفات المعلومات. 
1- أمن الأفراد: 

1-1 الاعتبارات الأمنية في تعريفات الوظيفة والموارد. 

7-1 تدريب المستخدم على أمن الأفراد. 

٠-1‏ معايير الاستجابة للحوادث الأمنية والأعطال. 
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۷ الأمن المادي والبيئي» متضمناً ذلك متطلبات ل: 
۱-۷ المناطق الآمنة. 
۲-۷ أمن اللعدات. 
۳-۷ الضوابط العامة. 
8- إدارة الاتصالات وعمليات التشغيل: 
۸ الإجراءات التشغيلية وال مسؤولية. 
۸ التخطيط والموافقة على النظام. 
۸ الحماية ضد البرمجيات الخبيثة. 
٤-۸‏ إدارة الممتلكات. 
0-8 متطلبات إدارة الشبكة. 
7-8 معالجة الوسائط والأمن. 
٨۸‏ تبادل المعلومات والبرمجيات. 
-٩‏ التحكم في الوصول: 
٠۹‏ متطلبات الأعمال للتحكم في الوصول. 
۹ إدارة الوصول للمستخدم. 
۹ مسؤوليات المستخدم بالنسبة للمعايير الأمنية. 
٠‏ التحكم في الوصول إلى الشبكة. 
-0 التحكم في الوصول لنظام التشغيل. 
1-۹ إدارة الوصول للتطبيقات. 


۷-۹ معايير المراقبة للوصول إلى النظام واستخدامه. 
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6-9 الحوسبة المتنقلة والشبكات ذات الصلة. 
۰- معايير تطوير النظام وصيانته: 

٠-٠١‏ المتطلبات الأمنية للأجهزة ونظم البرمجيات. 

٠٠‏ أمن نظم التطبيقات. 

۲٠‏ ضوابط التشفير. 

>-٠‏ أمن ملفات النظام. 

0-٠‏ الأمن في عمليات التطوير والدعم. 
-١‏ معايير إدارة استمرارية العمل. 
۲- المعايير الأمنية التي تغطي قضايا الامتثال: 

1-١‏ الالتزام بالمتطلبات القانونية. 

١-١‏ مراجعات السياسة الأمنية والتوافق الفني. 

۳-۲ اعتبارات تدقيق النظم. 

في خطوة أولى لتطبيق معيار أيزو 2/٠١"‏ فإنه يجب على المؤسسة أن تقوم بتحديد 
احتياجات ومتطلبات أمن المعلومات الخاصة بها. وهذا يتطلب القيام بإجراء تقييم لمخاطر 
أمن المعلومات على غرار عمليات إدارة المخاطر المؤسسية الصادر عن لجنة المنظمات 
الراعية (0050). والتي تم الحديث عنها في الفصل الرابع من هذا الكتاب. يجب أن يركز 
مثل هذا التقييم على تحديد التهديدات والثغرات الأمنية إلى جانب تحديد الكيفية التي 
من خلالها يمكن اعتبار كل واحد منها سبباً محتملاً في وقوع الحوادث الأمنية. وينبغي 
أن تساعد هذه العملية على تحديد الاحتياجات والمتطلبات الفريدة لأمن المعلومات في 
المؤسضسة. 

لوضع عمليات خاصة بفرض معيار الأيزو ۲۷٠١۲‏ الخاص بأمن المعلومات ينبغي 
على المؤسسة أن تقوم بتحديد وفهم جميع المتطلبات القانونية والتشريعية والتنظيمية 
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والتعاقدية التي يجب أن تفي بها المؤسسة ويفي بهن خا ال اء التجاونوق والمقاولوق 
ومقدمو الخدمات الذين تتعامل معهم المؤسسة. ويحتاج ذلك إلى فهم وتحديد الاحتياجات 
والمتطلبات الأمنية الخاصة باملوؤسسة. 

يعد أيزو ۲۷٠١۲‏ المعيار الأول من بين سلسلة من المعايير الدولية المستهدفة من قبل 
المؤسسات التي تستخدم نظم الحاسب الآلي الداخلية أو الخارجية» أو التي تمتلك بيانات 
سرية أو تعتمد على تقنية المعلومات لتنفيذ أنشطة الأعمال الخاصة بهاء أو التي ترغب 
ببساطة في اعتماد مستوى أعلى من الأمان عن طريق التوافق مع المعيار. وتماماً كما أصبح 
الامتثال لمعايير الأيزو ٠٠٠١‏ بمثابة ضمان الجودة: فإن التوافق مع معيار أيزو ٠۷٠٠۲‏ 
كن الشركاء من أن يكونوا على ثقة في مجمل العمليات الأمنية في المؤسسة. لا بد أن 
يسهم الامتثال بمعيار أيزو ۲۷٠٠۲‏ في تعزيز مستوى الثقة المتبادلة بين الشركاءء حيث 
يمكن لكل منهم إثبات أنه يتبع المعايير الأمنية المتوافقة مع مجموعة من المعايير المعترف 
بها والمعتمدة عالمياً. عندما يزداد نطاق الامتثال لمعيار أيزو ۲۷٠٠۲‏ ويصبح أكثر شيوعاً 
وانتشاراً فمن الممكن أن يسهم ذلك في انخفاض أقساط التأمين ضد مخاطر الحاسب الآلي» 
إلا أنه من المؤكد سيوفر مستوى حماية أفضل للبيانات السرية ويحسن من ممارسات 
الخصوصية والامتثال لقوانين الخصوصية. يعد معيار أيزو ٠۷٠١۲‏ منهجية منظمة ومعترفاً 
بها دوا ساعن فة ان تطوين إدارة 'أفضل لمن اللخلوقات برضفة هة 

ودعماً لهذا المستوى الرفيع للمعيار الخاص بالضوابط الأمنية» فإن معيار أيزو ٠۷٠١١‏ 
(27001 150) وهو ما تعرفه منظمة الأيزو على أنه "مواصفة" خاصة بنظام إدارة أمن 
تقنية المعلومات. بمعنى أنه قد تم تصميم هذا المعيار لقياس ومراقبة وضبط إدارة الأمن 
من منظور من أعلى إلى أسفلء إلا أن المعيار أيزو 27001 يوضح كيفية تطبيق معيار أيزو 
2 ويوضح بأن عملية تطبيق هذا المعيار الخاص بأمن المعلومات تتكون من ستة 
أجزاء: 
-١‏ تحديد السياسة الأمنية: نمة عنصر أساسي في أي معيار هو الحاجة إلى بيان بالسياسة 

الرسمية معتمد من قبل الإدارة العليا. وسيتم قياس جميع جوانب التوافق الأخرى 

للمعيار مقابل هذا البيان الخاص بالسياسة. 
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"- تحديد نطاق نظام إدارة أمن تقنية المعلومات IT security management‏ 
:system (ITSMS)‏ 
يعرف معيار أيزو ۲۷٠١۲‏ الأمن بعبارات فضفاضة قد لا تناسب أو لا تحتاج إليها جميع 

المؤسسات. فبعد أن قمنا بتعريف السياسة الأمنية رفيعة المستوى فإن المؤسسة تحتاج 

إلى تحديد نطاق نظام إدارة أمن تقنية المعلومات IT security management system‏ 

(115315) النشط الخاص بها. على سبيل المثالء يحدد معيار أيزو ۲۷۰۰۲ عنصراً من عناصر 

المتطلبات الأمنية كتسجيلات الفيديو والصوت. وقد لا يكون هذا ضروريا لمؤسسة معينة, 

ومن ثم سيتم تحديد استبعادها فيما يتعلق بنطاق نظام إدارة أمن تقنية المعلومات 

(115215) الخاص بها. 

۴- إجراء تقييم المخاطر: ينبغي على المؤسسة أن تحدد منهجية لتقييم المخاطر تناسب 
بيئة 115215 الخاصة بهاء وبعد ذلك تقوم بوضع معايير لقبول المخاطر وتحديد ما 
يمكن أن يشكل مستويات مقبولة من المخاطر. 

-٤‏ إدارة المخاطر: تعد هذه إحدى العمليات الرئيسية التي تشمل التحديد الرسمي 
للمخاطر وتحليل المخاطر وخيارات لمعالجة تلك المخاطر. وهذا العنصر الأخير يمكن أن 
يشمل تطبيق الضوابط المناسبة لتجنب المخاطر وقبول ا مخاطر واتخاذ خطوات أخرى 
لتجنبهاء أو نقل المخاطر إلى أطراف أخرى مثل شركات التأمين أو الموردين. 

-٥‏ اختيار أهداف الرقابة والضوابط التي سيتم تنفيذها: تعد هذه الخطوة مشابهة 
جدا لإجراءات الرقابة الداخلية للإطار (0050) والتي تمت مناقشتها في الفصل الرابع 
من هذا الكتاب وكذلك عمليات الرقابة الداخلية في (كوبت) التي نوقشت في الفصل 
العا مسن مق :هذا التائ أرقا :فلل هدق من الأَهَدافالرقابية اللعرفة خب غك 
المؤسسة أن تحدد الإجراءات الرقابية المناسبة له. 

- إعداد بيان الانطباق: تعد هذه الوثائق الرسمية ضرورية لإنهاء عملية توثيق 1152/15. 
فمثل هذه الوثائق هي التي تطابق أهداف الرقابة مع الإجراءات الخاصة بإدارة 
وتنفيذ 115215. 
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وكما هو واضح من هذه الخطوات الستء فإن عملية تحليل المخاطر وتحديد السياسات 
الأمنية ا متبعة يعد من الأمور الرئيسية الهامة بالنسبة لهذا المعيار الخاص بتقنية المعلومات. 
ونظراً للقواعد الصارمة في حقوق النشر والتأليف الخاصة بالأيزوء فإننا م نتمكن من إدراج 
مقاطع محددة من معيار أيزو 77٠١١‏ في هذا الفصل. يتم عرض المعايير الفعلية للأيزو 
في نص محكم واضح لا لبس فيه. ويتم إضافة القليل من التفاصيل المحددة إلا أن 
هناك ما يكفي للسماح للمؤسسة بتطبيق النظام الخاص بها لإدارة أمن تقنية المعلومات 
5. ويتم اختتام كل معيار بملحق يسرد إجراءات الرقابة الخاصة بتفاصيل كل هدف 
من أهداف هذا المعيار. ومع ذلك لا ينبغي النظر إلى معيار أيزو ۲۷٠١٠‏ على أنه مجموعة 
شاملة من الإجراءات الرقابية التي سيتم تغييرها بمجرد تغيير التقنيةء وإنما هي عبارة عن 
خطوط عريضة للإطار الخاص بنظام إدارة أمن تقنية المعلومات 1152015 والتي ينبغي 
تنفيذها ومراقبتهاء وصيانتها باستمرار. 

يعتبر كل من أيزو ۲۷۰۰۱ وأيزو ۲۷٠٠۲‏ معايير عالمية تحتوي على مخططات جاهزة 
ومتعارف عليها للامتثال بها والحصول على شهاداتهاء خاصة في المملكة المتحدة والاتحاد 
الأوروبي. وسيستمر كل منها في التطور ومواكبة التقنية والتوسع تبعاً للتغيرات الأكثر 
شمولية. وتقوم هذه المعايير أيضاً بتوفير الأساس اللازم لتحديد المعايير والممارسات الفعالة 
في أمن تقنية المعلومات. 


معيار أيزو 780٠٠‏ الخاص بحوكمة تقنية المعلومات: 

يتم تطوير معايير الأيزو ومن ثم إصدارها في المجالات التي تحتاج بشكل واضح إلى 
إرشادات تتعلق بأفضل الممارسات الموجودة على المستوى العالمي. في بعض الأحيان يتم 
إصدار هذه المعايير عندما يكون هناك حاجة تجارية ماسة لتوحيد المواصفات القياسية 
لمنتج ما. فمعيار أيزو الذي قمنا بالإشارة إليه مسبقاً والذي يتناول موضوع حجم بطاقات 
الدفع الائتمانية الخاصة بالعميل يعد مثالاً على ذلك. فقد قام مقدمو البطاقات الائتمانية 
في الأيام الأولى لها بإصدار بطاقات ذات أحجام وأنظمة ترقيم ومواصفات أخرى مختلفة. 
وبا لمثل فقد كانت هناك حاجة إلى معايير خاصة بالعمليات التبادلية لتعزيز التجارة 
الإلكترونية» وبناء على ذلك تم إطلاق أحد معايير الأيزو الخاصة بهذا الشأن. في بعض 
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معايير حوكمة تقنية المعلومات: أيزو ٩۰۰۱‏ و۲۷۰۰۲ و۳۸۵۰۰ 


العسالاة الأغرى فل معان الأيرو آفضل اللمازستات عندما تكون الامخال :بها روزا 
لأغراض تجارية. ولعل حديثنا السابق عن معايير الأيزو ٠٠١‏ الخاصة بالجودة هو خير 
مثال على ذلك. تقريباً كل مؤسسات تصنيع المنتجات اليوم التي ترغب في المنافسة على 
الصعيد الدولي يجب أن يكون مشهوداً لها بالتوافق مع معايير الأيزو 1٠٠١‏ الخاصة بنظام 
إدارة الجودة. 

على الرغم من أن بعض معايير الأيزو ظلت معمولاً بها لسنوات عديدة. فإن معيار 
أيرى-46؟ الخاص توك فة اللكلومات تر جديدا كما وقد تم إطلاقه في عام 
۸ با وا كما أنه لم يلق في الوقت الحاضر مستوى جيداً من 
الاهتمام الدوليء على الرغم من أن الإصدارات الجديدة المخطط لها للإطار كوبت والذي 
تم الحديث عنه في الفصل الخامس من هذا الكتاب سوف تضم المبادئ الخاصة بمعيار أيزو 
. فبالإضافة إلى إطار الرقابة الداخلية (©0050©). الذي تم الحديث عنه في الفصل 
الرابع من هذا الكتاب» والإطار كوبت» والذي تناولنا الحديث عنه في الفصل الخامس 
من هذا الكتاب» وأفضل الممارسات للإطار آيتل الذي تحدثنا عنه في الفصل السادس من 
هذا الكتاب؛ فإن معيار أيزو ٠80٠٠‏ يعد إطاراً آخر للمساعدة في دعم الممارسات الفعالة 
لحوكمة تقنية المعلومات الخاصة بمؤسسة ما. حتى الآن تم إطلاق المعيار على مستوى 
عال جداً أما الأجزاء والإرشادات التفصيلية فمن المؤكد أنها ستأقٍ لاحقاً. يقدم هذا القسم 
وصفاً بلعيار أيزو ۲۸١‏ وكيف يكن أن ساعد المؤسسة على وضع ممازسات فعالة 
للحوكمة تة اللعلومات: 


أهداف معيار أيزو :۳۸٥۰۰‏ 

BESS:‏ زارا من المبادئ الخاصة بكبار المديرين لاستخدامها عند تقييم 
وتوجيه ومراقبة استخدام تقنية المعلومات في مؤسساتهم. وهذا من شأنه أن يساعدهم 
على فهم الالتزامات القانونية والتنظيمية والأخلاقية المتعلقة باستخدام مؤسساتهم لتقنية 
المعلومات والوفاء بها. ويضم الإطار نموذجاً للتعريفات والمبادئ والحوكمة ليحقق ثلاثة 
أهداف هي: 
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الفصل السابع 
-١‏ توفير ضمانات لجميع أصحاب المصلحة في المؤسسة في أن يكون لديهم ثقة في حوكمة 

الشركات في الأمور التي تتعلق بتقنية المعلومات في مؤسساتهم. 
۲- إعلام وتوجيه كبار ال مديرين للتحكم في استخدام تقنية ا معلومات في منظمتهم. 
*- توفير أساس لتقييم أهداف حوكمة الشركات فيما يخص تقنية المعلومات. 

كما يهدف معيار أيزو ۳۸٠٠١‏ إلى إرشاد أولئك المشاركين في تصميم وتنفيذ نظم الإدارة 
العليا الخاصة بالسياسات والعمليات الفعالة التي تدعم حوكمة تقنية المعلومات. بمعنى 
أنه بينما تشير إرشادات هذا المعيار أكثر إلى مستويات الإدارة العلياء فإنه ينبغي على جميع 
المهنيين المشاركين في تصميم أو تنفيذ أو إدارة أو مراجعة عمليات تقنية المعلومات إعطاء 
بعض الاهتمام ممثل هذه المعايير الواسعة النطاق. 

يُطبق هذا المعيار على حوكمة عمليات إدارة تقنية المعلومات وقراراتها التي يتم 
التحكم فيها إما من قبل المتخصصين في تقنية المعلومات داخل المنظمة: أو من قبل مقدمي 
الخدمات الخارجيينء أو من قبل وحدات العمل الأخرى في المؤسسة. يهدف اممعيار إلى 
تقديم دليل إرشادي للمتخصصين في تقنية المعلومات ليقوموا بتقديم المشورة أو تقديم 
المعلومات أو مساعدة كبار المسؤولين التنفيذيين» مثل: 

« كبار المديرين. 

٠‏ أعضاء المجموعات التي تقوم بمراقبة الموارد داخل المنظمة. 

٠‏ أخصائيي العمل الخارجي أو التقني مثل القانوني أو المحاسبي. 

٠‏ الأخصائيين» أو جمعيات تجار التجزئةء أو الهيئات المهنية. 

٠‏ بائعي الأجهزة والبرمجيات والاتصالات وغيرها من منتجات تقنية المعلومات. 

٠‏ مقدمي الخدمات الداغلياق واناز (متضمتاً ذلك استشاريي تقنية المعلومات). 

٠‏ مدققي تقنية المعلومات. 

إن النطاق والأهداف المشار إليها تكون كبيرة إلى حد ما بالنسبة معيار جديد وصغير 
نسبيا. ومع ذلك هناك بعض المبادئ العامة الرئيسية التي تم وضعها في النص الحالي 
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معايير حوكمة تقنية المعلومات: أيزو ٩۰۰۱‏ و۲۷۰۰۲ و٠880‏ 


الخاص بهاء ويمكننا أن نتوقع أن نرى تعريفات دعم وإرشادات أكثر تفصيلاً لمعيار أيزو 
في السنوات المقبلة. 


إطار عمل معيار أيزو ۲۸٠٠١‏ لحوكمة تقنية المعلومات: 

يحدد المعيار ستة مبادئ للحوكمة الرشيدة لتقنية المعلومات والتي يمكن تطبيقها على 
معظم المؤسسات. هذه المبادئ تعبر عن السلوك المفضل لتوجيه عملية صنع القرارات 
المتعلقة بحوكمة تقنية المعلومات. بمعنى أن البيان الخاص بكل مبدأ يشير إلى ما يجب 
أن يتم تنفيذه, لكنه لم يحدد كيف أو متى أو بواسطة من سيتم تنفيذ هذه ال مبادئء إذ إن 
هذه الجوانب تعتمد على طبيعة المنظمة التي ستقوم بتطبيق تلك المبادئ: 

ا مبدأ الأول: المسئولية: يتعين على الأفراد والجماعات داخل المؤسسة معرفة وقبول 
مسؤولياتهم فيما يخص كلاً من توفير وطلب خدمات وموارد تقنية المعلومات. فأصحاب 
اللسؤوليات عن التدابيز والإجراءات' بملكون أيضاً سلظة تنقيذ تلك التدابين والإجراءاث: 

المبدأ الثاني: الإستراتيجية: إستراتيجية عمل المؤسسة يجب أن تأخذ بعين الاعتبار 
القدرات الحالية والمستقبلية لتقنية المعلومات؛ حيث ينبغي على هذه الخطط الإستراتيجية 
لتقنية المعلومات تلبية الاحتياجات الحالية وا لمستمرة الخاصة بإستراتيجية عمل المؤسسة. 

المبدأ الثالث: الاقتناء: يجب أن تكون أسباب اقتناء عناصر وموارد تقنية المعلومات 
حقيقية ولها ما يبررهاء وأن تكون قائمة على أساس عملية تحليلية مناسبة ومستمرق 
وجاءت نتيجة قرارات واضحة وشفافة. ويجب أن يكون هناك توازن مناسب بين المنافع 
والفرص والتكاليف والمخاطر على المدى القصير والطويل. 

المبدأ الرابع: الأداء: يجب أن تكون تقنية المعلومات صالحة لأغراض دعم المؤسسة» 
وتقديم الخدمات» ومستويات الخدمةء وجودة الخدمات اللازمة لتلبية متطلبات المؤسسة 
الحالية والمستقبلية. 

المبدأ الخامس: الأداء: يجب أن تكون تقنية المعلومات متوافقة مع جميع القوانين 
واللوائح التنظيمية الإلزامية ومع السياسات والإجراءات المحددة والمطبقة وا مفروضة 
بشكل واضح. 
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الفصل السابع 


المبدأ السادس: السلوك البشري: يجب على سياسات وإجراءات وقرارات تقنية 
المعلومات أن تظهر احترامها للسلوك البشريء وأن تتضمن جميع الاحتياجات الحالية 
والمستحدثة للأشخاص ا معنيين في العملية. 


شكل توضيحي )٤-۷(‏ 


نموذج الأيزو 880٠٠١‏ لحوكمة تقنية المعلومات المؤسسية 











بالإضافة إلى تلك المبادئ الأساسية» فإن المعيار يقدم أيضاً نموذجاً لحوكمة تقنية 
المعلومات. كما هو موضح في الشكل التوضيحي .)٤-۷(‏ فقد تم وصف العملية الشاملة 
لحوكمة تقنية المعلومات واحتياجات وضغوطات العمل التي تحتاج إلى بعض التغييرات 
والإجراءات في حوكمة تقنية المعلومات في مركز المثلث الموجود في الشكل التوضيحي .)٤-۷(‏ 
يوضح النموذج ضغوطات واحتياجات الأعمال التي تؤثر في العملية الخاصة بحوكمة تقنية 
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معايير حوكمة تقنية المعلومات: أيزو ٩۰۰۱‏ و۲۷۰۰۲ و٠880‏ 


المعلومات. ثم تأت بعد ذلك عمليات الحوكمة لتهيمن على مجمل عمليات تقنية المعلومات 
حيث تتأثر عمليات حوكمة تقنية المعلومات بالمقترحات المختلفة التي نشأت من تقنية 
المعلومات. كما تقوم عملية حوكمة تقنية المعلومات بتقديم الخطط والسياسات اللازمة 
لتقنية المعلوماتء وتقوم إدارة تقنية المعلومات بأكملها بتقديم معلومات عن أداء وامتثال 
حوكمة تقنية المعلومات. وقد تم وصف العملية الأساسية الشاملة في فصول أخرى من هذا 
الكتاب» إلا أن أن معيار أيزو 80٠١‏ يقوم بعمل جيد في احتواء هذه المسألة. 

يوجد بداخل مثلث حوكمة تقنية المعلومات الموجود في الشكل التوضيحي (۷ كل ثلاث 
وظائف إجرائية هي التقييم والتوجيه وال مراقبة. حيث يقدم نار الأيزد كعريفا مهد 
لكل عملية من هذه العمليات على النحو التالي: 


.١‏ التقييم: يجب على كبار مديري تقنية المعلومات أن يقوموا بدراسة وإصدار 
القرارات المتعلقة بالاستخدام الحالي والمستقبلي لجميع موارد تقنية المعلومات. متضمناً 
ذلك الإستراتيجيات والمقترحات والترتيبات الخاصة بالإمدادات والتجهيزات (سواء كانت 
داخلية أم خارجية أو كليهما). أثناء تقييم استخدام تقنية ا معلومات» ينبغي على الإدارة أن 
تأخذ في الحسبان الضغوط الخارجية أو الداخلية الناشئة عن الأعمالء مثل توجهات التغير 
التقني أو التوجهات الاقتصادية أو التوجهات الاجتماعية؛ والتأثيرات السياسية. 

ويجب أن تقوم الإدارة العليا بإجراء هذه التقييمات باستمرار كلما تغيرت ضغوطات 
الأعمال. ويجب عليها أيضاً أن تأخذ في اعتبارها كلاً من الاحتياجات الحالية وا مستقبلية 
للأعمال - الأهداف التنظيمية الحالية وا مستقبلية التي يجب تحقيقهاء مثل الحفاظ على 
الميزة التنافسية. فضلاً عن أهداف محددة للإستراتيجيات والمقترحات التي يتم تقييمها. 

؟. التوجية: يجب على الإدارة العليا أن تقوم بتخصيص إدارة مسؤولة عن إعداد 
وتنفيذ الخطط والسياسات» ويجب أن تقوم بنفسها بالإشراف على هذه الإدارة. ويجب 
على هذه الخطط أن تحدد الاتجاه نحو الاستثمارات في مشاريج تقنية المعلومات يي 
التشغيلية. ويجب أن تضع هذه السياسات اوا چ فعا في استخدام تقنية 
المعلومات. 
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الفصل السابع 


وينبغي أن يضمن المديرون أن عملية الانتقال من المشاريع إلى الحالة التشغيلية يتم 
التخطيط لها وإدارتها بشكل سليم» مع الأخذ بعين الاعتبار التأثيرات في ممارسات الأعمال 
والممارسات التشغيلية وكذلك النظم والبنية التحتية الحالية لتقنية ا معلومات. 

يجب أن تشجع الإدارة العليا لتقنية المعلومات على ثقافة الحوكمة الرشيدة لتقنية 
المعلومات عن طريق اشتراط المديرين توفير المعلومات في الوقت المناسب. لتتوافق مع 
التوجه وتتماشى مع المبادئ الستة للحوكمة الرشيدة. 

۴. المراقبة: ينبغي على الإدارة العليا أن تراقب» من خلال استخدام نظم القياس 
المناسبة» الأداء العام لتقنية المعلومات. يجب أن يطمئنوا أنفسهم أن هذا الأداء يسير 
بحسب الخطط ال معدة لذلك» وخاصة ما يتعلق بأهداف العمل. كما ينبغي على الإدارة 
ايض التأكد من أن تقنية المعلومات تتوافق مع الالتزامات التنظيمية والقانونية والتعاقدات 
الخارجية ومع ممارسات الأعمال الداخلية كذلك. 


إرشادات لتطبيق معيار أيزو :886٠٠‏ 

قامت منظمة الأيزو بنشر هذا المعيار ووضع المبادئ الست الخاصة به في النموذج 
الخاص بحوكمة تقنية المعلومات لتقديم إرشادات أكثر تحديداً لحوكمة تقنية المعلومات. 
ويمكن شراء هذا الدليل الإرشادي وجميع التفاصيل المتعلقة بالمعيار أو تحميلها من الموقع 
الإلكتروني للأيزو .(www:iso.org/iso/catalogue_detail?csnumber=51639)‏ ولا 
تسمح لنا قوانين حقوق التأليف والنشر الخاصة بالأيزو بإعادة إنتاج هذه الإرشادات التي 
تم نشرها. ولكننا قمنا بتحرير واستخراج جزء صغير من هذه الإرشادات لتقديم بعض 
الرؤى عن قرب للمواد الفعلية. 

إذا أخذنا مبدأ الإستراتيجية, مثالاًء فإن هناك إرشادات لكل خطوة من الخطوات اللازمة 
لإجراء التقييم والتوجيه والمراقبة. وعلى الرغم من التغيرات التي طرأت على المعيار الفعلي» 
وبالتأكيد لم نقصد أن نشرح المعيار الفعلي لأيزو ۳۸0٠١‏ فإن ما يلي هشل إرشادات تتعلق 
بمبدأين من مبادئ المعيار: 
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معايير حوكمة تقنية المعلومات: أيزو ٩۰۰۱‏ و۲۷۰۰۲ و٠880‏ 


٠‏ المبدأ الأول» إستراتيجية لتقييم ما يلي: 
- ينبغي على الإدارة العليا تقييم التطورات الحاصلة في عمليات تقنية المعلومات والأعمال 
لديها لضمان أن تقنية المعلومات سوف تقدم الدعم الكافي للاحتياجات المستقبلية 
للأعمال. 
- إذا أخذنا بعين الاعتبار الخطط والسياسات» فعلى الإدارة العليا تقييم أنشطة تقنية 
المعلومات لديها للتأكد من أنها تتماشى مع أهداف المؤسسة تبعا للظروف المتغيرة 
وتأخذ في الحسبان ممارسات أفضلء وتلبي المتطلبات الرئيسية الأخرى لأصحاب 
المصلحة. 
٠‏ المبدأ الثاني» إستراتيجية لمراقبة ما يلي: 
- يجب أن تقوم الإدارة العليا بمراقبة التقدم المحرز في المقترحات التي تمت الموافقة عليها 
لضمان أنها تحقق الأهداف في الأطر الزمنية المطلوبة باستخدام امموارد امخصصة. 
- يجب أن تقوم الإدارة العليا مراقبة استخدام تقنية المعلومات لضمان تحقيقها للفوائد 
المرجوة. 
ويستمر المعيار باستخدام هذه اللغة العامة دون وجود أي قواعد محددة أو إجراءات 
تفصيلية» بل هناك فقط بعض الإرشادات العامة الجيدة. لكن عندما يدعو المعيار الإدارة 
العليا "لمراقبة التقدم المحرز في المقترحات التي تمت الموافقة عليها لضمان تحقيقها للأهداف 
ضمن الأطر الزمنية المطلوبة". فإن هذا النوع من اللغة يشير إلى الحاجة إلى إجراءات 
للموافقة على مشروع وبرنامج تقنية المعلومات وتخطيط للمشروع مع وضع الأطر الزمنية 
ومجرد مراجعات منتظمة من قبل الإدارة العليا. إن إدارة التدقيق الداخلي في المؤسسة. 
كما ذكرنا في الفصل التاسع عشر من هذا الكتاب» يمكن أن تكون هثابة الخبير الاستشاري 
الداخلي الذي يساعد في تنفيذ هذه الإرشادات الخاصة با معيارء ويتحدث الفصل السادس 
عشر من هذا الكتابء على سبيل المثالء عن أهمية إجراءات إدارة المشروعات. 
هناك العديد من المعايير الأخرى ممنظمة الأيزو قابلة للتطبيق في هذا المجالء إلا أن 
المعيار أيزو 80٠٠‏ يمكن أن يساعد ويقوي الحوكمة الشاملة لتقنية المعلومات المؤسسية. 
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الفصل السابع 


وقد قام العديد من المديرين برفض بعض هذه ال معايير لأنها كما يبدو تتطلب وثائق أو 
أعمالاً ورقية مكثفة أكثر من اللازم. بمعنىء إذا كان المعيار يقول: إن «على الإدارة أن 
تتابع» عملية أو نشاطاً ماء فإن جماعة المؤسسة التي تدعم هذا المجال يجب أن تكون في 
وضع يمكنها من إظهار نشاط المتابعة هذا من خلال مستوى معين من التوثيق. وبالتأكيد 
فإننا لا نقصد الحديث عن خزائن من العمل الورقي» ولكن نتحدث عن بعض أشكال الأدلة 
الإلكترونية القابلة للاسترجاع. لقد مرت العديد من مؤسسات اليوم والتي تقوم بتقديم 
منتجات أو خدمات في الأسواق العالمية من خلال عملية التدقيق الخارجي للأيزو للتصديق 
على امتثالها مع معايير الأيزو .4٠٠١‏ وقد نرى في السنوات القادمة متطلبات امتثال 
مشابهة لمعايير الأيزو الخاصة بحوكمة تقنية المعلومات عندما تصبح أكثر انتشاراً وقبولاً. 


ملاحظات: 

-١‏ وليام إدواردز دینج ۱٤(‏ أكتوبر ۱۹۰۰ - ۲۰ ديسمبر ۱۹۹۳) كان أخصائياً. وأستاذاً 
ومؤلفا ومحاضراً وأستشارياً أمريكياً وربما كان الأكثر شهرة بالنسبة لمجال عمله في 
اليابان» غير أنه كان زعيم حركة الجودة على مستوى العام. 

Norman Ho, “ISO 9000: No Longer a Stranger to Service,” Gartner, WWW. - 
qualitydigest .com/june99/html/body_iso_9000.html 
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الفصل الثامن 
قضايا حوكمة تقنية المعلومات: إرشادات حول إدارة المخاطر 
وإدارة المخاطر المؤسسية الصادرة عن لجنة المنظمات 
الراعية (7581231 005©0) والمجموعة المفتوحة للامتثال 
والأخلاقيات (©0©017) 


تعد إدارة المخاطر أحد المفاهيم المرتبطة بالتأمين» فقد يتصور الفرد أو المؤسسة أن هناك 
نوعاً ما من التهديدء مثل خطر اندلاع حريق في أحد المباني السكنية أو سرقته» وعندها يقوم 
باتخاذ الإجراءات اللازمة لتوفير الحماية حال وقوع ذلك التهديد. إن الأسلوب الأكثر شيوعاً 
للحماية من ا مخاطر هو شراء تأمين من أحد الموردين الخارجيين التجاريينء أو تركيب آليات 
حماية للوقاية من المخاطر نوعاً ما. ويتم ذلك باستخدام نهج قائم على المخاطر لتحديد 
نوع التأمين ومقداره الذي يتم شراؤه أو نوعية الحماية اللازم توفيرها. وتعتمد العوامل 
الرئيسية لاتخاذ القرار هنا على حجم المخاطر أو التهديدات الأخرى المحتملةء كما تعتمد 
على تكاليف التأمين والأجهزة الوقائية اللازمة للحماية من تلك المخاطر. 

وعلى الرغم من اعتقاد الناس في أغلب الأحيان بأن المخاطر والحماية الوقائية مرتبطة 
فقط بتهديدات كالحرائق أو الكوارث الطبيعية أو السرقة» فإن المؤسسة تكون في حاجة إلى 
أن تنظر إلى المخاطر من منظور أوسع من ذلك بكثيرء وقد يشمل ذلك أموراً مثل الإخفاق 
في أحد المشاريع التجارية الجديدة أو الدعاوي الجنائية الناجمة عن عدم نجاح المنتج أو 
حدوث تحولات اقتصادية سلبية غير متوقعة. ولا تستطيع المؤسسة الحصول على تأمين - 
فعال وجيد من حيث التكلفة - بتلك السهولة لتغطية تلك المخاطر الأخرى فحسب, بل قد 
تحتاج إلى تنفيذ عمليات أخرى لتوفير الحماية من تلك المخاطر العديدة والمتنوعة الخاصة 
GSS RSS UA‏ اللومتسية SE UE‏ لكر اللجالاث الرقيسة كرفا 
للمخاطر. حيث تمثل الخسارة المادية بلعدات تقنية المعلومات أو الاضطراب في شبكة 
الاتصالات أو سرقة مصادر البيانات أحد المخاطر الأساسية التي تهدد المؤسسة وقد يتبعها 
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الفصل الثامن 


عواقب وخيمة مالم تكن هناك إدارة مناسبة للمخاطر وأدوات إصلاح قائمة ومعمول 
بها. 

يناقش هذا الفصل أدوات إدارة المخاطر وتقنياتها من حيث أهميتها بالنسبة لحوكمة 
تقنية المعلومات» كما يقوم أيضاً باستعراض بعض أساسيات إدارة المخاطر التي يجب أن 
تمثل إحدى المجالات المعرفية المهمة لدى جميع مديري المؤسسات. ثم يقدم هذا الفصل 
بعد ذلك إطار إدارة المخاطر المؤسسية الصادر عن لجنة ا منظمات الراعية (1:181/1 ©0050): 
وهو إطار متخصص في إدارة المخاطر المؤسسية صادر عن لجنة المنظمات الراعية (050©) 
حيث يشبه إطار الرقابة الداخلية الصادر عن لجنة المنظمات الراعية (0050©) - الذي 
تم عرضه في الفصل الرابع من هذا الكتاب - إلا أن أهدافه مختلفة. 


ويُختتم هذا الفصل بمقدمة عن نموذج الحوكمة وإدارة المخاطر والامتثال (160 © 
20041) التابع للمجموعة المفتوحة للامتثال والأخلاقيات (001:06)): مع التركيز على معايير 
إدارة المخاطر الخاصة بهذا النموذج. وتعمل المجموعة المفتوحة للامتثال والأخلاقيات 
(©008) وفق مجموعة من ا معايير الصناعية التي قامت ببناء نموذج قدرة الحوكمة 
وإدارة المخاطر والامتثال (20061 116 ذطدمدء 6180) الذي يركز بشكل قوي على إدارة 
المخاطر المؤسسية. وقد قامت هذه المجموعة (00786) بإطلاق مجموعة من المواد 
الخاصة بأفضل الممارسات في مجال الحوكمة وإدارة المخاطر والامتثال (©626). إلا أنها م 
تكن بأهمية المعايير نفسها الخاصة بأحكام قانون ساربينز-أوكسلي (5دمناء نامآ )80>x‏ 
أو معايير أيزو. وقد تم مناقشة كل منهما في فصول سابقة. ومع ذلكء فقد تحظى 
هذه المجموعة باعتراف وقبول عام في عام الصناعة قريباً وقد يكون الامتثال لمعايير تلك 
المجموعة أحد الأمور الهامة لحوكمة تقنية المعلومات. 
أساسيات إدارة المخاطر: 

سواء تم شراء وثيقة تأمين ضد الحريق بلرفق جديد بأحد المباني أم تم تثبيت أدوات 
وقائية المشروع تجاري جديد أو شراء مستوى مناسب للا يعرف بالتأمين على مسئوليات 
المديرين وكبار المسؤولين فى المؤسسة. فعلى الإدارة العليا أن تدرك أنها تتعامل مع مجموعة 
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قضايا حوكمة تقنية المعلومات 


متنوعة من المخاطر المؤسسية التي يجب فهمها وإدارتها بشكل مناسب. ويجب التفكير 

في إدارة المخاطر على أنها عملية من أربع مراحل هي: 

.١‏ تحديد المخاطر: تحتاج المؤسسة إلى تحديد القضايا والظروف التي هكن أن تصبح 
مخاطر مؤثرة في عمليات التشغيل الخاصة بها. 

۲. التقييمات الكمية أو النوعية للمخاطر الموثقة: الخطوة التي تاي مرحلة تحديد 
المخاطر المحتملةء وهي توظيف الأدوات لتقدير الآثار المحتملة حال وقوع أي من هذه 
المخاطر ال محددة. 

*. تحديد أولويات المخاطر وتخطيط الاستجابة لها: يجب أن تعطى الأولوية للمخاطر 
الأكثر تأثيراً من بين المخاطر التي تم تحديدهاء كما ينبغي وضع خطط استجابة لهذه 
المخاطر حال وقوعها. 

. متابعة المخاطر: ينبغي وضع عمليات مستمرة لتقييم الأوضاع الحالية للمخاطر 
المخدذة مسبقا أو مخاطر جديدة:واتخاذ الإجراء اللناسب حال وقوع تلك اللخاطن 
وتقييم التقدم المحرز في تلك الإجراءات العلاجية. 
وينبغي أن تكون إدارة المخاطر عملية تتم على مستوى المؤسسة بأكملهاء وتشمل جميع 

الأشخاص على ال مستويات كافة وفي جميع وحدات المؤسسة. وبينما تحتاج المؤسسات 

الكبيرة إلى تشكيل فريق متخصص في إدارة المخاطرء فإنه يجب على المؤسسات الصغيرة 

تعيين أشخاص ليكونوا مسئولين عن إدارة عملية تقييم ا مخاطر على مستوى مؤسستهم. 

فسواء تمت عملية إدارة المخاطر من خلال إدارة رسمية أم بجهود غير رسمية تخدم هذا 

الغرضء فإنه ينبغي أن تشمل إدارة المخاطر في المؤسسة طائفة عريضة من الناس من 
مستويات تنظيمية مختلفة في المؤسسة. فقد تكون وجهة نظر المدير المالي التنفيذي حول 
بعض مخاطر النظم المتعلقة بتقنية المعلومات مختلفة عن وجهة نظر المدير التنفيذي 
للمعلومات (010) أو أحد أعضاء الطاقم الخاص بعمليات تشغيل تقنية المعلومات. فكل 
منهم يرى المخاطر من وجهات نظر مختلفة. وينطبق هذا التشبيه ذاته على جميع جوانب 
اللؤسمطة: 


مى 
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الفصل الثامن 


ويجب تطبيق عملية إدارة المخاطر ذات المراحل الأربعة المذكورة سابقاً على جميع 
مستويات المؤسسة وبمشاركة مختلف الأشخاص. فسواء كانت المؤسسة صغيرة بها القليل 
من المرافق وتقع في منطقة جغرافية محدودة, أم كانت مؤسسة عالية كبيرة فإنه ينبغي 
فظؤير اال غا لإدارة اللحاطن وت ةة اة مهمة وتوا ل كات العامة 
المنتتشرة بكثرة هذه الأيام» وهي التي تحتوي على العديد من وحدات التشغيل المرتبطة 
بعمليات التشغيل والمرافق المختلفة الكائنة في مختلف البلدان. وقد تؤثر بعض مخاطر 
وحدة تشغيلية معينة في مخاطر وحدة تشغيلية أخرى أو تكون مرتبطة بها بشكل مباشرء 
غير أن الاعتبارات الخاصة بمخاطر أخرى قد تكون مستقلة بشكل فعال عن باقي الخاطر 
جميعاً. ويمكن أن تقع هذه المخاطر المشتركة بسبب توافر مجموعة مختلفة وكبيرة من 
الظروف تبدأ بقرارات مالية ضعيفة إلى تغيرات في مدى تجاوب المستهلكين مع اللوائح 
الحكومية الجديدة. وتعد العمليات الفعالة لإدارة المخاطر من العناصر المهمة لحوكمة 
فعالة لتقنية المعلومات. 


تحديد المخاطر: 

في الوقت الذي يتم فيه التركيز على حوكمة تقنية ا معلومات وا مخاطر المتعلقة بتقنية 
ا معلومات» ينبغي مع ذلك تركيز الإدارة العليا على كل المخاطر التي قد تواجه ا مؤسسة 
سواء تلك المتعلقة بتقنية المعلومات أم غيرها. كما ينبغي أن تسعى الإدارة إلى تحديد 
جميع المخاطر المحتملة التي قد تؤثر في نجاح المؤسسة:. بدءاً من ا مخاطر الأكبر أو الأكثر 
تأثيراً بالنسبة لقطاع الأعمال بكاملهاء وانتهاءً بالمخاطر الأقل أهمية وهى المرتبطة با مشاريع 
الفردية أو بوحدات الأعمال الأصغر حجما. كما تحتاج عملية تحديد المخاطر إلى اتباع 
نهج مدروس للنظر ف المخاطر المحتملة في كل مجال من مجالات العمليات التشغيلية, 
ومن تحديد مجالات المخاطر الأكثر تأثيراً والتي هكن أن تُوّثر في كل عملية خلال فترة 
زمنية معقولة. ليس المقصود بالفكرة هنا مجرد سرد جميع المخاطر المحتملة: وإنما تحديد 
ا مخاطر التي قد تؤثر إلى حد ما في عمليات التشغيل خلال فترة زمنية معقولة. وقد تكون 
هذه ممارسة صعبة لأننا في كثير من الأحيان لا نفهم جيداً احتمالات وقوع المخاطر أو 
طبيعة عواقب مواجهة المؤسسة لتلك المخاطر. 
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قضايا حوكمة تقنية المعلومات 


يوجد لدى بعض المؤسسات وظيفة مدير تنفيذي للمخاطر يكون مسئولاً عن عمليات 
إدارة المخاطر في المؤسسة. ويتعين على الإدارة العليا حال غياب هذه الوظيفة أن تبني 
فريقاً خاصاً بإدارة ا مخاطر سواء كان ذلك بشكل رسمي أم غير رسمي» وذلك بهدف إدارة 
عمليات إدارة المخاطرء لديها. كما يجب أن يضم هذا الفريق جميع العناصر الهامة في 
المؤسسة ومن ضمنهم أعضاء من التدقيق الداخلي والإدارة القانونية والمكاتب الإدارية 
الرئيسية لقيادة الأنشطة الخاصة بإدارة المخاطر. 


كما يجب إتمام عملية تحديد المخاطر التي يقوم بها فريق إدارة المخاطر على مستويات 
متعددة في المؤسسة. فالمخاطرة التي يكون لها تأثير في وحدة أعمال منفردة أو مشروع 
مستقل قد لا يكون لها تأثيرٌ كبيرٌ في المؤسسة بأكملها أو خارجها. وعلى العكس من ذلك 
فإن إحدى المخاطر الرئيسية التي تؤثر في الاقتصاد بأكمله يمتد تأثيرها ليصل إلى المؤسسة 
الفردية ووحدات الأعمال المنفصلة التابعة لها. كما قد تكون بعض المخاطر الكبرى نادرة 
الحدوث» إلا أنها قد لا تزال كارثية بدرجة تجعل من الصعب تحديدها كحدث مستقبلي 
وارد الحدوث. 

إن الطريقة الجيدة لبدء عملية تحديد المخاطر على مستوى المؤسسة هي وضع مخطط 
هيكلي تنظيمي رفيع المستوى للمؤسسة يسرد المستوى المؤسسي ووحدات التشغيل. وقد 
يكون لكل وحدة من هذه الوحدات مرافق في مواقع عالمية متعددة. كما قد تتكون 
أيضاً من عمليات تشغيل عديدة ومتنوعة. ويكون لكل مرفق منفصل بعد ذلك إداراته 
أو وحداته الخاصة به. وقد تكون بعض هذه المرافق المستقلة مرتبطة بعضها مع بعض 
بشكل وثيقء في حين يمثل البعض الآخر ما يتجاوز بقليل الاستثمارات التي تعكس التقارير 
ا مالية في المؤسسة. وقد يكون من الصعب والمعقد في بعض الأحيان إطلاق مبادرة على 
مستوى المؤسسة لتحديد جميع المخاطر في مختلف مجالاتها المستقلة. إن هذا النوع من 
الممارسات هكن أن يحقق أحياناً نتائج مثيرة للاهتمام و/أو مثيرة للقلق. فعلى سبيل المثال» 
قد تكون الإدارة على مستوى الشركة على علم ببعض مخاطر المسئولية القانونية عن المنتج» 
إلا أن مشرف الخطوط الأمامية في وحدة التشغيل قد ينظر إلى المخاطر نفسها من منظور 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات ۹ 


الفصل الثامن 


كما ينظر أعضاء المؤسسة على مختلف المستويات إلى بعض هذه المخاطر ذاتها من 
وجهات نظر مختلفة. فمدير التسويق قد يشعر بالقلق إزاء إستراتيجيات التسعير الخاصة 
با منافس أو المخاطر الخاصة بأنشطة التسعير التي من شأنها أن تضع المؤسسة في موضع 
انتهاك للقوانين الخاصة بضبط التبادل التجاري. وقد يشعر مدير تقنية المعلومات بالقلق 
إزاء مخاطر فيروسات الحاسب أو هجوم البرمجيات الخبيثة على نظم التطبيقات؛ لكنه 
سيحتفظ بقليل من المعرفة عن تلك المخاطر الخاصة مسألة التسعير. تكون الإدارة العليا 
عادة على علم بمستوى مختلف ومجموعة مختلفة من المخاطر أكثر من تلك الموجودة في 
أذهان فريق العمل المخصص للقيام بعمليات التشغيل. ومع ذلك: يجب على الأقل تحديد 
كل هذه المخاطر والنظر إليها على أساس وحدة تلو الأخرى وعلى مستوى المؤسسة بالكامل. 

وحتى تكون عملية تحديد المخاطر فعالة» يتطلب الأمر أكثر بكثير من مجرد إرسال 
رسالة بريد إلكتروني إلى جميع مسئولي وحدات التشغيل مع طلب سرد المخاطر الرئيسية في 
الوحدات التشغيلية الخاصة بهم؛ فمثل هذا الطلب عادة ما ينتج عنه عددٌّ كبيرٌ من الإجابات 
المتعارضة في ظل عدم وجود نهج مشترك. إن أفضل نهج في ذلك هو تحديد أشخاص من 
مختلف مستويات المؤسسة يُطَالْبُون بأن يكونوا بمثابة مقيمين للمخاطر. لذلك ينبغي تحديد 
الأفخاص الرئيسيين من داخل كل وحدة من وحدات التشغيل والإدارة المالية وإدارة تقنية 
المعلومات وإدارة وحدة الأعمال. ويكون هدفهم جميعاً هو تحديد المخاطر في وحداتهم 
ثم المساعدة في تقديرهاء تلك المخاطر التي تقع حول إطار نموذج تحديد المخاطر. ويمكن 
أن يقود هذا النوع من المبادرات مجموعة خاصة بإدارة المخاطر على مستوى المؤسسة: إن 
وجدت» أو يُضاف ضمن مهام إدارة تقييم الضوابط الداخلية مثل التدقيق الداخلي. 

ولعل أحد الأساليب الفعالة هنا هو تحديد بعض مجالات مخاطر "المغالطة البهلوانة "^ 
1 سهءا؟ العالية المستوى التي قد تؤثر في وحدات التشغيل المختلفة. ويمكن للأشخاص 
ذوي المعرفة بعد ذلك أن ينظروا في هذه المخاطر القائمة على الإفتراضء كما يمكنهم أيضاً 
توسيعها بإضافة المزيد من المخاطر إليها أو التعديل عليها إذا اقتضى الأمر ذلك. ويوضح 
(*) المغالطة البهلوانية أو رجل القش هي إحدى الادعائات القائمة على تحريف الموقف ال معارض» بتفنيد شكل 

الحجة بحيث يوحي أن الحجة ا معاكسة صحيحة. ويقصد بها هنا تحديد المخاطر المحتملة من وجهة نظر 

معيتة ومن ثم اس عخدام ذلك كاساس تنطلق منة ورش عمل يتم عقدها بين المعتين بهذا لأر العمل من 

"رجل القش" هذا نحو ما يعتقدون أنه المخاطر المحتملة (المترجم). 
۴ ديل المسئول التنفيذي لحوكمة تقنية المعلومات 





قضايا حوكمة تقنية المعلومات 


الشكل التوضيحي )١-۸(‏ مثالاً لعينة من إطار عمل نموذج المخاطر المؤسسية» فهو يسرد 
بعض مجالات المخاطر الرئيسية التي قد تؤثر في المؤسسة. مثل المخاطر الإستراتيجية 
ومخاطر عمليات التشغيل والمخاطر المالية. وتعد تلك العينة أحد أنواع القوائم عالية 
المستوى التي قد يتعجل الرئيس التنفيذي بوضعها رداً على سؤال يطرحه أصحاب المصالح 
خلال الاجتماع السنوي مثلء "ما الذي يقلقك نهاية اليوم؟" لكنه بالتأكيد لا يسرد جميع 
المخاطر التي تتعرض لها ا مؤسسة, وإنما يعد هذا نوعاً من أنواع القوائم الأولية التي هكن 
للمؤسسة استخدامها للبدء في عملية تحديد المخاطر تفصيلياً. ويمكن أن يجتمع المسئولون 
في المؤسسة - وغالباً يكون الفريق المعين لإدارة ا مخاطر - مع الإدارة العليا ويقومون بطرح 
بعض الأسئلة من نوعية "ما يقلقك؟ ..." لتحديد تلك المخاطر العالية المستوى. 

إن هذا النموذج العام الذي يتعلق با مخاطر العالية المستوى على وجه الخصوص يكن أن 
يعمل اساسا لتحديد مخاطر هة تواعة مكلف وجنات اة غل تو أففيل.. فعان 
سبيل المثال» يقوم النموذج بإدراج "مخاطر استمرارية الأعمال" تحت "ا مخاطر التقنية". 
وينبغي أن يكون مدير تقنية المعلومات قادراً على توسيع هذه المخاطر لتكون في شكل 
قائمة طويلة من المخاطر التقنية التفصيلية المتعلقة باستمرارية الأعمال والتعافي من كوارثها. 
ويُعد مدير عمليات التشغيل هو مستخدم موارد تقنية المعلومات الذي قد ينظر إلى مخاطر 
استمرارية الأعمال من وجهة نظر مختلفة جداً ويعرض مخاطر أخرى جديدة مرتبطة بما قد 
يحدث إذا م تح خدمات تقنية المعلومات. ولفهم أفضل للمخاطر التي تواجه المؤسسة» فإنه 
يكون من الأفضل غالباً توسيع تلك القوائم لوضع مجموعة أكثر اكتمالاً للمخاطر المحتملة. 


التقييم الكمي أو النوعي للمخاطر: 

نشير هنا إلى خطوة هامة للغاية في عملية تقييم المخاطر وهي أخذ جميع ا مخاطر 
المحددة وترتيبها من حيث تأثيرها واحتمالية حدوثها. حيث تُوجد العديد من الطرق 
الرسمية التي يمكن استخدامها هنا وتكون غالباً معقدة ا ولأننا لا نقوم بتحليل 
محطة توليد كهرباء ممولة من الحكومة أو ما شابه ذلكء فإن المؤسسة تكون غالباً أفضل 
حالاً إذاها استخدمت نهجاً بسيطاً ومباشراً لتقييم المخاطر بحيت يفهمه جميع أعضاء 
فريق الإدارة العليا المسئولة عن عملية إدارة المخاطر الخاصة بهم ويقبلونه. 
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شكل توضيحي (۱-۸) 
أنواع مخاطر الأعمال المؤسسية 


المخاطر الإستراتيجية 


مط سوس ماع 
٠‏ مخاطر السععة 
ا اكب اداج 
٠‏ مخاطر دعم الشركة الأمل 
٠‏ مخاطر التغييرات القانونية ٠‏ مخاطر حماية براءات الاختراع / 
والتنظيمية العلامات التجارية 
۰ مخاطر احتياجات العملاء ورغباتهم 

مخاطر عمليات التشغيل 
مخاطر الإمتثال مخاطر الموظفين 
ء مخاطر بيثية ٠‏ مخاطر الموارد البشرية 
ZEISS‏ 


٠‏ مخاطر السياسات والإجراءات ٠‏ مخاطر حوافز الأداء 
المخاطر المالية 


٠‏ مخاطر التعثر (التخلف عن 
السداد) 
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مخاطر موف اسان الأجنية 
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مخاطر البنية التحتية ونظم تقنية المعلومات 
سشدد. - | کے و ا 
EEN ETT‏ 5ك 


وکا أوضحا :قبل قليل: فانه يجح أو على وسات و وكات :تسل الأفبال اة 
لها تحديد جميع المخاطر المؤثرة التي تواجه المؤسسة بكاملها. وينتج غالباً عن هذه 
الممارسة الخاصة بتجميع قائمة كهذه مجموعة كبيرة من المخاطر المحتملة يكون بعضها في 
كثير من الأحيان خارج نطاق فهم الإدارة العليا أو تقديرها. فمدير تقنية المعلومات» على 
سبيل المثال» قد يسلط الضوء على أحد المخاطر في إستراتيجية البنية اللوجهة نحو خدمات 
تقنية المعلومات في المؤسسة. كما أوضحنا في الفصل الثالث عشر من هذا الكتاب» وهو 
الأمر الذي قد لا تفهمه أو تقدره السلطة التنفيذية للمؤسسة. وهنا يمكن لإدارة تقنية 
المعلومات أن تتقصى مدى تأثير هذه المخاطرة وسبب المطالبة مزيد من الموارد للتصدي 
لها. وعلى أية حال يجب أن تحتفظ الإدارة العليا بنهج توافقي تنظر من خلاله إلى مثل 
تلك المخاطر وكذلك إلى التكاليف المرتبطة بوضع الإجراءات التصحيحية لها. وبعد ذلك 
يجب عليهم موازنة هذه المخاطرة مع العديد من المخاطر الأخرى التي قد تم تحديدها. 

وعلى الرغم من أن هناك العديد من الأساليب الرسمية المنشورة والخاصة بالعملية 
الرسمية لتحليل المخاطرء فإن المؤسسة تحتاج إلى نهج بسيط لكنه دقيقٌ لتنظر من خلاله 
في جميع المخاطر التي تم تحديدها لتقرر أي منها يحتاج إلى إجراءات تصحيحية ومتابعة. 
ويمكن استخدام مجموعة متنوعة من الأساليبء تمتد من النهج الكيفي السريع نسبياً القائم 
على التخمين الأفضل وصولاً إلى بعض الأساليب الكمية التفصيلية والرياضية الخالصة. وتتضح 
الفكرة الكلية هنا في مساعدة الإدارة على اتخاذ قرار أفضل فيما يتعلق بأي من تسلسلات 
الأحداث المحتملة المحفوفة با مخاطر التي قد تمثل القلق الأكبر لإدارة المؤسسة. 





دليل امستول التنفيذي لحوكمة تقنية المعلومات FY‏ 
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إن النهج البسيط الذي يكون فعالاً غالباً هو تبني قائمة المخاطر السابق مناقشتها 
وتعميمها على جميع المشاركين» ويتم في ذلك تحديد المخاطر أو غيرها من خلال استبيان 
يسأل عن كل مخاطرة من تلك المخاطر: 
ما مدق احتزالية خدوت محاظرة ما خلال اة القاذمة تحديداة تدا الدرجاك 
من 1-١‏ قم بوضع درجة من رقم واحد لأفضل تخمين على النحو التالي: 
٠‏ الدرجة ١‏ إذا كنت لا ترى تقريباً أي فرصة لحدوث هذه المخاطرة خلال تلك الفترة. 
٠‏ الدرجة 9 إذا كنت تشعر أن هذا الحدث سيحدث بشكل شبه مؤكد خلال تلك الفترة. 
٠‏ الدرجات من ۲ إلى ۸ تعتمد على شعورك بأن الاحتمالية تقع بين هذين النطاقين 
« ما مدى تأثير e‏ من حيث التكلفة على المؤسسة؟ مرة أخرى باستخدام المقياس 
من ١-إلى-‏ ينبغي أن تعتمد نطاقات الدرجات على التأثير المالي للمخاطرة في المؤسسة. 
فال مخاطرة التي هكن لتكاليفها أن تخفض أرباح المؤسسة حتى سنت واحد للسهم قد 
تكون مؤهلة للحصول على أقصى درجة؛ .٩‏ 
ويجب توزيع الاستبيانات الخاصة بهذا النهج المبسط بشكل مستقل على الأشخاص 
ذوي ال معرفة لتقييم كل مخاطرة من المخاطر التي تم تحديدها بالنسبة لهذين المقياسين 
(احتمالية الحدوث والتأثير) أو وضع درجة لها. ومثالا على ذلك لنفترض أن المؤسسة قامت 
بتحديد ستة مخاطر من م-١‏ إلى م-1. وأنه يُطلب من أعضاء الفريق الخاص بتقييم المخاطر 
إجراء ثة تقييم منفصل لكل مخاطرة من تلك المخاطر على حدة من حيث مقاييس احتمالية 
انوت والتأثير. بعد ذلك ومن خلال تطبيق هذين العاملين بحسب متوسط هذه 
الدرجات» كما يتم رسمها على مخطط الرسم البياني» ذي الأجزاء الأربعةء الخاص بتحليل 
تقييم المخاطر كما هو مبين في الشكل التوضيحي (۲-۸). حيث يُظهر أن م١‏ لها متوسط 
درجة احتمالية حدوث نحو ٣,۷١‏ ودرجة تأثير ۷,٠١‏ ويتم رسم هذه الدرجة في الربع الأول 
من المثال الخاص بمخطط تحليل تقييم المخاطر. ويدل هذا على أن م-١‏ تعتبر مخاطرة 
مؤثرة 0 لكن احتمالية حدوثها بعيدة 00 
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ويجب رسم جميع المخاطر التي يتم تحديدها بهذه الطريقة. فالمخاطر ذات احتمالية 

دوت عالية واک اتيا التي تنتهي في الربع الثانيء يجب أن تلقي المزيد من الاهتمام 
الفوري من قبل الإدارة. 


شكل توضيحي (۲-۸) 
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وتعد النطاقات من ١‏ إلى ٩‏ هنا اعتباطية جدا؛ لذا ينبغي أن تحدد ا مؤسسة بعض 
الخطوط الإرشادية النسبيةء لكن يجب عاى الموظفين فقط تقييم الأمور وفق رؤيتهم 
لاحتمالية الحدوث والتأثير النسبي للمخاطر التي تم تحديدها. كما يقدم هذا المخطط 
البياني الخاص بتحليل تقييم المخاطر مقياساً كيفياً جيداً لفهم المخاطر المؤثرة المحيطة 
با مؤسسة. 

إن ما قامت به عملية تقييم ا مخاطر لا يتعدى وصف الأعمال التي تحتاجها المؤسسة 
عندما تقوم بتحديد عدد قليل نسبياً من المخاطر بشكل جيد. فمن امهل غاما أن نظن 
إلى الرسم البياني الخاص بتحليل تقييم المخاطر والتركيز على المخاطر العالية الاحتمالية 
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والتأثير في الربع الثاني - الأممن العلوي - للتركيز على وضع خطط الإصلاح لتلك المخاطر. 
وعلى أية حالء فإنه في كثير من الأحيانء إذا كانت المؤسسة قد حددت مجموعة أكبر بكثير 
من المخاطر المحددة ومن النطاقات (من )۹-١‏ وكذلك المخططات في مثال الرسم البياني» 
فإن الرسم البياني لن يوفر تفاصيل كافية. ومن ثم فالنهج الأفضل هو التعبير عن هذه 
التقديرات المهمة والمؤثرة بدلالة عدد مكون من رقمين يمثل تقدير نسبة مئوية (على 
سبيل المثال.» ۷) من تحقيق مخاطرة ما أو احتمالية (على سبيل المثال: #الاره). 

كما أن مجرد زيادة عدد الأرقام في النسبة مثلاً )٠,۷(‏ او )٠,۷۲(‏ لن يزيد من دقة 
التقييم» لكنه يشير إلى أن فريق تقييم المخاطر يجب أن يكرس مزيداً من الاهتمام للحصول 
على تقديرات دقيقة. كما أن ذلك يساعد فرق التقييم في فهم العلاقة بين الاحتمالات التي 
تغطي الأحداث المستقلة وذات الصلة على نحو أفضل. 

و على أية حالء تحتاج العملية الدقيقة لتقييم المخاطر إلى ما هو أكثر من مجرد 
تقديرات "التقديرات المرتفعة" سواء كانت ممثلة بنطاق مفرد )۹-١(‏ أم نسبة مئوية 
كاملة من رقمين. كما يجب على فريق تقييم المخاطر وغيرهم من المهتمين أن ينظروا 
بحرص في المخاطر التي تُحدّد أثناء عملية تحديد المخاطرء وينبغي جمع مزيد من 
المعلومات» إذا لزم الأمر. فعلى سبيل المثالء أثناء عملية تحديد المخاطر, قد يعتبر أحد 
المديرين أن الآثار المترتبة على القانون الجديد للتعرفة الجمركية يعد بمثابة مخاطرة 
مهمة» وربما يقوم آخرون في الجلسة نفسها بتوسيع التبعات بإضافة المزيد من ا مخاطر 
واعتبار أن القانون المفترض والمرتقب يعد بمثابة مخاطرة مؤثرة. وعلى أية حال قبل 
وضع التصنيف القائم على الأهمية والتأثير قد يرغب الفريق أو غيره من المديرين 
المسؤولين في القيام بمزيد من الأبحاث لتحديد التبعات الفعلية. ولربما في بعض الأحيان 
لا تكون هذه التبعات قابلة للتطبيق على الوحدة التشغيلية التي نحن بصدد الحديث 
عنها أو أنه لن يكون لها أي تأثير يذكر حتى على مدار عدة سنوات قادمة. وتتضح 
النقطة الأساسية هنا في أن كل المخاطر التي تحدد قد تحتاج إلى بعض المعلومات الإضافية 
لضمان تطبيقها بدقة. 
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قضايا حوكمة تقنية المعلومات 


تخطيط الاستجابة للمخاطر: 

تظهر قيمة متواضعةً حال نشر قوائم تفصيلية عن المخاطر المؤثرة ما م تقم ا مؤسسة 
على الأقل باتخاذ بعض الخطوات الإجرائية الأولية إن (أو عندما) تتحمل المخاطرة. 
وتتضح الفكرة هنا في تقدير أثر تكلفة تحمل بعض ال مخاطر المحددة ومن ثم تطبيق 
تلك التكلفة على احتمالية عامل المخاطرة الخاص بال مخاطرة لاستنتاج القيمة المتوقعة 
للمخاطرة. كما هثل هذا وقتاً مهما لتحديد من هو المالك أو المسئول عن المخاطرة 
ومن هو الشخص أو الجهة المسئولة عن معرفة حالة المخاطرة المحددة ومتابعتها. ولا 
يحتاج هذا الإجراء في كثير من الأحيان إلى دراسات تفصيلية للتكاليف ولا إلى كثير من 
الاتجاهات والتقديرات التاريخية الداعمة. فقد تم تحديد المخاطر الخاصة بنا من خلال 
نهج العصف الذهني السريع الاستجابة دون تحليل تفصيليء وبعد ذلك يقوم أشخاصٌ 
ذوو معرفة بإجراء تقديرات احتمالية الحدوث والتأثير في ظل وجود المعرفة العامة عن 
المجال. كما يجب الانتهاء من حساب التكاليف المتوقعة» ويقوم بذلك العاملون في 
الخطوط الأمامية ويشملون أشخاصاً على مختلف مستويات المؤسسة يكون من المتوقع 
احتفاظهم ببعض ال معرفة. 

وتتضح الفكرة هنا من خلال المرور على كل مخاطرة تم تحديدها - وإذا كان الوقت 
محدوداً فإنه يكفي فقط المرور على المخاطر الرئيسية - وتقدير تكاليف تحمل المخاطر 
المحددة. ويوضح الشكل التوضيحي (۲-۸) ست عينات لمخاطر تم رسمها باستخدام 
التقديرات الخاصة باحتمالية الحدوث والتأثير لكل مخاطرة. وهنا تمثل النواتج المشتركة 
لحاصل ضرب التأثير والاحتمالية درجة من درجات تقييم ا مخاطرةء وبترتيب هذه الدرجات 
تصبح القيمة الأعلى هي عنصر المخاطرة الأكبر الذي يدعو للقلق والاهتمام. 

ويجب على فريق تقييم المخاطر النظر في أثر تكلفة كل مخاطرة من المخاطر المحددة 
وتقدير التكلفة الإجمالية على المؤسسة حال وقوعها. كما يوجد العديد من الطرق لوضع 
مثل هذه التقديرات الخاصة بتكلفة المخاطرء إلا أنه يجب استخدام النهج نفسه مع جميع 
المخاطر التي تم تحديدها. وبناءً على ذلك. يصبح حاصل ضرب درجة المخاطرة وتأثير 
التكلفة هو التكلفة أو الخسارة المتوقعة التي ستتكبدها المؤسسة حال وقوع المخاطرة 
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الفصل الثامن 


المحددة. ويوضح الرسم البياني في المثال أنه على الرغم من أن المخاطرة 37 -0 بها أعلى 
احتمالية حدوث. فإن تأثير التكلفة الأعلى للمخاطرة م قد يسبب قلقاً إدارياً أكبر بكثير 
من ال مخاطرة 8 -0. 
من المؤكد عدم دقة عينة تحليل المخاطر هذه. إلا أنها توضح أحد أنواع التفكير الذي 
نحتاج إليه لتقدير تكاليف التعافي من بعض وقائع المخاطر. في كثير من الأحيان يكون 
من السهل التعرف على بعض وقائع ا مخاطرء لكن الأكثر صعوبة في الغالب هو تحديد 
تكلفة التعافي من تلك المخاطرة. وعلى النحو المقترح طوال هذا الفصلء لا توجد حاجة 
لإجراء تحليلات تفصيلية تستغرق الكثير من الوقت» بل يكفي الاستعانة بأهل العلم الذين 
يفهمون مجال المخاطرة لإعطاء بعض التقديرات. كما يتعين على الفرق في الكيانات التي 
قد تتحمل هذه المخاطر المحددة أن تق تقدر التكاليف على أبن هي: 
٠‏ تقدير التكلفة لأفضل الحالات التي يكون من الضروري فيها تحمل المخاطرة. يظهر هذا 
الافتراض فقط في حال وجود تأثير محدود عند حدوث المخاطرة. 
٠‏ تقدير تكلفة العينة التي يقوم بها الشخص صاحب المعرفة. 
٠‏ القيمة أو التكلفة المتوقعة لتحمل المخاطرة. هذا هو نوع المخاطرة الذي قد يشمل 
تكاليف أساسية وغير ذلك من العوامل مثل العمل الإضافي. 
٠‏ تقدير التكلفة لأموأ الحالات التي يكون من الضروري فيها تحمل المخاطرة. ويعد هذا 
أحد أنواع التقدير "إذا كان كل شيء يسير على نحو خاطئ". 
لقد اقترحنا استخدام هذه التقديرات نقطة بداية لتشكيل فكرة عن حدود التكاليف 
التي تدور في خلد مختلف الأفراد. ومع ذلك فإننا نؤكد أن هذا مجرد نهج عالي المستوى. 
ويجب أن تعمل الإدارة العليا مع فرق الدعم المسئولة عن تقييم المخاطر لديها لفهم 
العمليات المعمول بها في المؤسسة. 
ويعد الشكل التوضيحي )۳-۸( مثالاً على تخطيط ترة تيب ال مخاطر. فخلية "القيمة 
المتوقعة" ليست سوى حاصل ضرب خلايا "أثر التكلفة" 9" 'درجة ة ا مخاطرة" . ويقدر هذا 
الرقم التكلفة التي ستتكبدها المؤسسة حال تحملها مخاطرة ما. وعلى الرغم من أن 
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الأرقام التي اختيرت لهذه العينات أرقام اعتباطية: فإنها توضح للمديرين أو أخصائيي إدارة 
المخاطر المؤسسية (8183/1) كيفية تفسير هذه النوعية من التحاليل والعمل بمقتضاها. 

فالمخاطرة ٠-٠‏ على سبيل المثال» بها احتمالية عالية وتأثير عال» وكذلك التكلفة المتوقعة 
للتصحيح تكون عالية نسبياً. كما أن هذا النوع من المخاطر هو الذي ينبغي أن تحدده 
الإدارة على أنها أحد ا مخاطر المرشحة لاتخاذ إجراءات تصحيحية حيالها. ومع ذلك فإن 
المخاطرة التالية في الجدولء ا مخاطرة م-". تنتمي أيضاً إلى الجانب الأممن العلوي من الشكل 
الرباعي لكن بتكلفة عالية نسبياً لمعالجتها. وقد يكون هذا أحد نوعيات المخاطر التي بناءً 
عليها ستقرر الإدارة إذا ما كانت ستقبل المخاطرة أو تطور شكلاً آخر من خطة العلاج كما 
سيتم مناقشته لاحقاً. 

شكل توضيحي (7-8) 


مثال تخطيط الاستجابة طبقاً لتقييم المخاطر 
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ونؤكد مرة أخرى ارتفاع تكلفة المخاطرة» وفي هذه الحالة يكون تأثيرها مرتفعاً نوعاً ما 
لكن احتمالية حدوثها تكون منخفضة للغاية. وهذه هي نوعية الأرقام التي تقرر الإدارة 
غالنا وق خلذلها أن ا غير" وتعيش مع المخاطرة. يه مثل تلك المخاطرة. فإنها 
ستكلف الإدارة إذا ما قررت تحملهاء كما ستكون مُكلفة حال تثبيت بعض الأدوات الخاصة 
بالإجرامات التصحيحية, .وما اقترا أن فريق إدارة التخاطر اة قام بعل حيدق 
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الفصل الثامن 


إعداد تقديرات المخاطر تلك التي تم تحديدهاء فهذا هكن أن يكون نهجاً مفيداً في اتخاذ 
القرارات المتعلقة با معالجة المستمرة للمخاطرة. 


متابعة المخاطر: 

بينما يلزم عمل مسح للمخاطر المحتملة في البيئة المؤسسية ثم تقدير تكاليف واحتمالات 
تلك المخاطر التي قد تحدث. فإنه يلزم القيام بهذا الإجراء لأكثر من مرة. بل يجب وضع 
عمليات رسمية ممتابعة المخاطر وفحص حالتهاء فضلاً عن معرفة المخاطر الجديدة المحتملة 
بشكل مستمر. إن متابعة المخاطر هي عملية توصيف الوضع الحالي للمخاطر المحددة 
وتحليله وكذلك تتبع المخاطر الجديدة ا محتملة حال ظهورها. فهي تضمن أن موارد الشركة 
المخصصة للمشروع تعمل بشكل صحيح. 

إن هذا المفهوم الخاص بتثبيت أدوات متابعة سيظهر في كثير من العمليات الأخرى 
الخاصة بحوكمة تقنية المعلومات التي تمت مناقشتها في فصول لاحقة. فعلى سبيل المثاله 
يناقش الفصل الرابع عشر من هذا الكتاب إدارة حوكمة تقنية المعلومات وإدارة محفظة 
استثمارات تقنية المعلومات؛ في حين يقدم الفصل السادس عشر من هذا الكتاب للقارئ ما 
يعرف بالإدارة الفعالة لمحفظة المشاريع والبرامج. وفي تلك الحالات وغيرهاء تحتاج المؤسسة 
إل وضع ضوابط رقانية لتقييم الخالة بشكل مستمر: 

وفي الماضي لم تكن العديد من أدوات المتابعة هذه موجودةً بشكل واقعي في العديد من 
مجالات النظم التقليدية مثل تقنية المعلومات. فقد كان طاقم تقنية المعلومات في كثير من 
الأحيان يترقبون بكل آمل أن تسير الأمور بسلام وألا تتعطل النظم الرئيسية: وإذا ما حدث 
ذلك وتعطلت تلك النظم وما يصاحبها من تداعيات» تظهر عادةٌ حالةٌ من الزخم تهدف 
إل استعادة تلك النظم للعمل مرة أخرى: وف السنوات الأغرة فقظ ثم وضع العديد من 
أفضل تطبيقات تقنية المعلومات التي تم استخدامها وتطبيقها مع أدوات متابعة لتسليط 
الضوء على حالات المشاكل. 

كان لدينا تجربة أفضل بكثير مع أدوات المتابعة في بيئة إدارة المخاطر, إذ كلّ من إنذار 
الحريق التقليدي اممثبت على الحائط أو جهاز الإنذار المستخدم في الكشف عن السرقات 
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المثبت على الباب يعتبر من النظم التقليدية لمتابعة المخاطر. ومن خلال استخدام التقارير 
الشبيهة بلوحة معلومات الإدارة أو غيرها من الآليات» يجب على المؤسسة أن تضع نظم 
متابعة للتحقق من الوضع الحالي للمخاطر الرئيسية المحددة وكذلك أجهزة إنذار الإشارة 
عند الحاجة إلى اتخاذ إجراءات تصحيحية. وعلى الرغم من عدم قيام أحد كبار المديرين 
ببناء أدوات المتابعة هذه أو تصميمها بوجه عام» فإن هذا المسئول التنفيذي نفسه ينبغي 
أن يكون في موقع يؤهله لطرح الأسئلة حول وضع أدوات متابعة مخاطر اللؤسسة. 

تعريفات إدارة المخاطر المؤسسية وأهدافها الصادرة عن لجنة المنظمات الراعية 
ERM)‏ 0050): عرض محفظة المخاطر: 

تحدثنا في الفصل الرابع من هذا الكتاب عن إطار الرقابة الداخلية الصادر عن لجنة 
المنظمات الراعية (0050) وأهميته على أنه أداة لتقييم الضوابط الداخلية للمؤسسة 
وتعزيز حوكمة تقنية المعلومات. ويعد إطار إدارة ا لمخاطر المؤسسية الصادر عن لجنة 
المنظمات الراعية (588231 0050) أداةً مماثلة لهذا الإطار غير أنه يختلف عنه» فإطار 
المخاطر المؤسسية هذا من شأنه أن يساعد المؤسسات على أن تحتفظ بتعريف ثابت عن 
المقصود با مخاطر على مستوى المؤسسة التي ينبغي أن تؤخذ بعين الاعتبار وبشكل متناسق 
عبر المؤسسة بأكملها. لقد قامت لجنة المنظمات الراعية (0050) بإطلاق إطار إدارة 
المخاطر المؤسسية بطريقة مشابهة لإطار الرقابة الداخلية الخاصة بها والذي تم تطويره في 
وقت سابق. كما تم تشكيل مجلس استشاري يتكون من أعضاء من المؤسسات الراعية وتم 
التعاقد مع شركة برايس ووترهاوس كوبرز Pricewaterhouse Coopers (PWC)‏ على 
تطوير وصف الإطار وصياغته. وقد تم نشر الوصف الخاص بالإطار عام 7٠٠١‏ والصفحات 
التالية من هذا الفصل تلخص مفاهيم إطار إدارة المخاطر المؤسسية الصادر عن لجنة 
المنظمات الراعية. وعلى أية حال فإننا ندعو القارئ أيضاً إلى الوصول إلى وصف كامل لإطار 
إذارة اللفاطر اة الصادر عن لجنة المنظمات الزاعية, 'إذ مكن دحل اتسخة كاملة 
من إطار إدارة المخاطر المؤسسية الصادر عن لجنة المنظمات الراعية أو شراؤهاء وكذلك 
بعض المواد المختصرة الداعمة من خلال معهد المحاسبين القانونيين الأمريكيين (410724) 


أو موقع الويب الخاص بلجنة المنظمات الراعية من خلال الرابط التالي: 107930:2050.018 
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الفصل الثامن 


وكما بدأ إطار الرقابة الداخلية الصادر عن لجنة المنظمات الراعية باقتراح تعريف ثابت 
للموضوع الذي يتناولهء يبدأ إطار إدارة المخاطر المؤسسية أيضاً من خلال تعريف إدارة 
المخاطر المؤسسية على النحو التالي: 
إن إدارة المخاطر المؤسسية هي عملية يقوم بها مجلس إدارة الكيان والإدارة وغيرهم من 
الموظفين» ويكون تطبيقها في شكل إستراتيجية يتم وضعها في جميع أرجاء المؤسسةء وتكون 
مصممة لتحديد الأحداث المحتملة التي قد تؤثر في الكيان» وكذلك تدير المخاطر لتكون في 
نطاق قدرة الكيان على تقبل المخاطرء وتقدم ضماناً معقولاً بتحقيق أهداف الكيان. 
وحيث إن هذا هو تقريباً التعريف الأكاديمي» فإنه رما يتعين على المرء النظر في النقاط 
الرئيسية لإدارة المخاطر المؤسسية الصادرة عن لجنة المنظمات الراعية وتذكرهاء والتي من 
٠‏ إدارة المخاطر المؤسسية عبارة عن عملية. رغم أن تعبير "عملية" يُساء استخدامه غالبا 
فان القاموس يحرفها على أنها مجموعة :مق الإجراداث الرافية إل تحعفيق تة -وفضلةً 
عن أن هذا التعريف لا يخدم العديد من المهنيينء فإن الفكرة نايهن إدراك أن العملية 
ليست إجراءً ثابتاً مثل استخدام شارة الموظف التي ما صممت ولا طبقت إلا للسماح 
فقط لأشخاض معينين لدخول أحد المرافق المؤمنة: فمثل هذا الإجراء الخاص بالشارة - 
الذي يعتبر بمثابة مفتاح القفل - ما هو إلا مجرد إجراء خاص بالسماح أو عدم السماح 
بدخول شخص ما إلى أحد المرافق. وتميل العملية إلى أن تكون ترتيبا أكثر مرونة. ففي 
عملية اعتماد الإقراض مثلا »يتم وضع قواعد قبول مع وجود خيارات لتعديلها عند 
حدوث اعتبارات أخرى. فالمؤسسة هنا قد تلوي قواعد الإقراض من أجل عميل غير 
تحق للاقتراض يعاني من مشكلة على المدى القصير. فعملية إدارة المخاطر المؤسسية 
هي هذا النوع من العمليات. ولا تستطيع المؤسسة في كثير من الأحيان تحديد قواعد 
إدارة ا مخاطر من خلال كتاب قواعد صغير ومنظم بشكل محكم. بلء ينبغي أن تكون 
هناك سلسلة من الخطوات الموثقة لمراجعة وتقييم ا مخاطر المحتملة واتخاذ الإجراءات 
امناسبة 'استناداً إلى مجموعة واسعة من العوامل اللوجودة في جميع أرجاء المؤسسة: 
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٠‏ يقوم أفراد يعملون في المؤسسة بتنفيذ عملية إدارة المخاطر المؤسسية. لن تكون إدارة 
ا مخاطر المؤسسية فعالة إذا تم تنفيذها فقط من خلال مجموعة من القواعد التي يتم 
إرسالها لوحدة التشغيل من المركز الرئيسي للشركةء البعيد عن تلك الوحدات التشغيلية, 
حيبت دوجن خوك الأ خا العافلون بالشركة مهن قاهوا بضياغة مسودة القواعته وقد 
يكون لديهم القليل من فهم العوامل المختلفة ا محيطة بهم التي يتم اتخاذ القرار بناءً 
عليها. ويجب أن يقوم على إدارة المخاطر أفرادٌ على مقربة كافية من مكان تلك المخاطر 
وحالها لفهم مختلف العوامل المحيطة بتلك المخاطر متضمناً ذلك آثارها. 

٠‏ يتم تطبيق إدارة المخاطر المؤسسية من خلال وضع إستراتيجيات عبر المؤسسة بالكامل. 
تتعرض المؤسسات 15 إل إستزاتيعياتة تديلة "متعلقة مجموعةفخمة هن الأجرادات 
المستقبلية ا محتملة. فمثلاًء هل يتوجب على الكيان أن يقتني أعمالاً تكميلية أخرى 
أم يكتفي فقط ببنائها داخلياً؟ وهل ينبغي تبني تقنية جديدة في عمليات التصنيع أم 
الاكتفاء بالتمسك بالأملوب المجرب والصحيح؟ إن الإدارة الفعالة للمخاطر المؤسسية 
يجب أن تلعب دوراً رئيسياً في وضع تلك الإ تراتيجيات البديلة. وها أن هناك العديد 

من المؤسسات الكبيرة التي تحتوي على العديد من وحدات التشغيل المختلفة: فإنه 
ينبغي تطبيق إدارة المخاطر المؤسسية عبر تلك المؤسسة بأكملها باستخدام نوع من أنواع 
أساليب المحافظ الذي يقوم بدمج أنشطة المخاطر العالية والمنخفضة بعضها مع بعض. 

٠‏ يجب الأخذ في الاعتبار مفهوم الرغبة في المخاطر. الرغبة في المخاطرة هي مقدار 
ا مخاطرةء على المستوى العام» الذي تكون المؤسسة ومديروها على استعداد لقبوله في 
سعيها لتحقيق القيمة المطلوبة. ويمكن قياس الرغبة في ا مخاطر من خلال الحس النوعي 
الذي يقوم على تصنيف المخاطر إلى فئات مثل عالية أو متوسط أو منخفضة؛ وبديلاً عن 

لكء يمكن تعريفها بطريقة نوعية. إن فهم الرغبة في المخاطر يغطي مجموعة واسعة 
E‏ ل 
حول مخاطر الحوكمة ومخاطر أمن تقنية المعلومات التي تمت الإشارة إليها في فصول 
لاحقة تدور حول تطبيق حوكمة تقنية تقنية المعلومات. إن الفكرة الأساسية هنا هي أنه 
يجب أن يكون لدى كل مدير وكل مؤسسة عموماً مستوى ما من الرغبة في المخاطر. 
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فالبعض سيقبل با لمشاريع المحفوفة با مخاطر التي تبشر بتحقيق عوائد عاليةء في حين 
يفضل البعض الآخر أكثر المشاريع ا منخفضة المخاطر المضمونة العائد. كما يستطيع 
المرء أن يتصور هذا المفهوم الخاص بالرغبة في ا مخاطرة أو أن يقيسه على اثنين من 
المستثمرين الافتراضيين. فأحدهما قد يفضل سوق المال أو الصناديق ذات المؤشرات 
المنخفضة المخاطر جداً إلا أن عوائدها تكون عادة منخفضة» في حين قد يستثمر الآخر في 
أسهم شركات التقنية الصغيرة الناشئة. 

٠‏ توفر إدارة المخاطر المؤسسية ضماناً معقولاً فقط وليس إيجابياً حول إنجازات الأهداف. 
والفكرة هنا تتضح في أن إدارة المخاطر ا مؤسسيةء مهما كانت مدروسة أو مُتفذة بشكل 
جيهد. لا يمكن أن تمد الإدارة أو غيرها بأي ضمان مؤكد للنتائج. إن المؤسسة الخاضعة 
للرقابة بشكل جيد من خلال أشخاص على جميع المستويات تعمل باستمرار نحو تبني 
أهداف مفهومة وقابلة للتحقيق. وقد تتحقق تلك الأهداف فترة بعد فترة. حتى إن كان 
ذلك على مدى عدة سنوات. ومع ذلكء من الممكن أن يقع خطأ بشري غير مقصود أو 
سلوك غير متوقع من قبل آخرين, أو حتى وقوع كارثة طبيعية. فتسونامي" (موجات 
المد البحري العاتية) التي حدثت في المحيط الهندي في ديسمبر عام ٠6‏ ۲۰ يعد مثالاً على 
تلك الأحداث غير المتوقعة. إذ سُّجّل أن آخر موجة تسونامي في هذا الجزء من العام قد 
حدثت منذ نحو ٤٠١‏ عام مضت. وعلى الرغم من تطبيق عملية إدارة مخاطر مؤسسية 
فعالة. فإن ا مؤسسة قد تتعرض لمثل هذا الإخفاق غير المتوقع بالمرة نتيجة لتلك الأحداث 
غير المتوقعة فالتأكيدات المعقولة لا توفر ضماناً مطلقاً. 


٠‏ تم تصميم إدارة ا مخاطر المؤسسية للمساعدة في تحقيق إنجاز الأهداف. يجب أن تعمل 
المؤسسة: من خلال إدارتهاء على وضع أهداف مشتركة عالية المستوى يمكن أن يتشارك 
فيها جميع أصحاب المصلحة. ومن أمثلة ذلكء كما وردت في وثائق إطار (050© 
۴M‏ أمورٌ مثل تحقيق السمعة الإيجابية والحفاظ عليها داخل مجتمعات الأعمال 
وا مجتمعات الاستهلاكية للمؤسسة وتقديم تقارير مالية موثوقة لجميع أصحاب المصلحة 
والتزام ا مؤسسة بالقوانين واللوائح. إن البرنامج العام لإدارة المخاطر المؤسسية من شأنه 
أن يساعد المؤسسة على تحقيق تلك الأهداف. 
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وتكون الأهداف والغايات المتعلقة بإدارة المخاطر المؤسسية قليلة القيمة ما لم تكن 
منظمة ومتناغمة معاً بطريقة تمكن الإدارة من أن تنظر في الجوانب المختلفة لهذه المهمة 
وأن تفهم - نوعا ما على الأقل - الطريقة التي تتفاعل بها بعضها مع بعض على نحو 
متعدد الأبعاد. هذه هي القوة الحقيقية لنموذج إطار الرقابة الداخلية الصادر عن لجنة 
المنظمات الراعية (©0050)؛ فهو يصف على سبيل اممثال» كيف أن التزام المؤسسة بالقوانين 
واللوائح يمكن أن يؤثر في جميع مستويات الضوابط الداخلية» من عمليات المتابعة إلى بيئة 
الرقابةء وكيف أن هذا التوافق مهم لجميع كيانات المؤسسة أو وحداتها. وبطريقة مماثلة 
قامت لجنة المنظمات الراعية (0050) بتطوير نموذج إطار إدارة المخاطر المؤسسية الذي 
يوفر بعض التعريفات الشائعة لإدارة ا مخاطرء والمساعدة على تحقيق الأهداف الرئيسية 
للمخاطر في جميع أنحاء الؤسسة. 

إطار إدارة المخاطر المؤسسية الصادر عن لجنة المنظمات الراعية (1:13/1 0050): 

إن إطار الرقابة الداخلية الصادر عن لجنة المنظمات الراعية (0050©). كما نوقش 
في الفصل الرابع من هذا الكتاب» وتم وصفه في الشكل التوضيحي (1-6)؛ أصبح نموذجاً 
يحتذى به في جميع أنحاء العالم» فهو يقوم بعمل فعال خا في وصف ' الضوابط الداخلية 
وتحديدها. وقد يبدو إطار (58831 0050) من الوهلة الأولى مشابهاً جداً لإطار الرقابة 
الداخلية الصادر عن لجنة المنظمات الراعية (©005) رها لأن بعض أعضاء الفريق نفسه 
قد تم ضمهم إلى كل من مشروع الرقابة الداخلية ومشروع إدارة المخاطر المؤسسية. إن 
إطار (8831 0050) كما هو موضح في الشكل التوضيحي )٤-۸(‏ عبارة عن مكعب ثلائي 
الأبعاد يحتوي على المكونات التالية: 

٠‏ أربعة أعمدة رأسية تمثل الأهداف الإستراتيجية للمخاطر المؤسسية. 

٠‏ ثمانية صفوف أفقية وهي مكونات المخاطر. 

٠‏ عدة مستويات للمؤسسة: بدءاً من مستوى كيان "المقر الرئيسي" إلى مستوى الفروع 
الفردية. وتبعاً لنوع المؤسسةء قد توجد هنا "شرائح" كثيرة للنموذج. 
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يقوم هذا القسم بتسليط الضوء على بعض المكونات الأفقية لإطار (1:831 0050). كما 
يمكن الحصول على وصف أكثر تفصيلا لإدارة المخاطر المؤسسية الصادر عن لجنة المنظمات 
الراعية E۸۷(‏ 0050) ومكوناته الثلاثية الأبعاد. وكيفية ارتباطها معاً من خلال زيارة الموقع 
01 ومن خلال الوصف الأكثر تفتلا لإدارة المخاطر المؤسسية الصادر عن لجنة 
المنظمات الراعية (8831 0050) المقدم من مؤلف هذا الكتاب". كما يوفر إطار إدارة 
المخاطر المؤسسية (183/6) نموذجاً للمؤسسات لدراسة الأنشطة ذات الصلة بالمخاظر وفهمها 
على جميع مستويات المؤسسة بالإضافة إلى كيفية تأثير هذه الأنشطة بعضها على بعض. 
وكجزء من فهم حوكمة تقنية المعلومات يهدف هذا الكتاب إلى مساعدة كبار المديرين على 
فهم المخاطر التي تواجه مؤسساتهم وإدارتها على نحو أفضل. 
شكل توضيحي (6-8) 


إطار0050 لإدارة المخاطر المؤسسية 


کے أهداف إدارة المخاطر سے 
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يبدو أن هذا الوصف الخاص بإطار (18123/1 050©) يشبه إلى حد بعيد إطار الرقابة 
الداخلية الصادر عن لجنة المنظمات الراعية (0050) الذي أصبح مألوفا لدى العديد من 
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المهنيين. فعندما تم إطلاق إطار (87831 0050) لأول مرة اعتقد البعض للوهلة الأولى 
اعتقاداً خاطتاً بأنه مجراٍ تحديث لإطار الرقابة الداخلية الصادر عن لجنة المنظمات الراعية 
(0050) الأكثر شيوعاً لديهم. فهذا الأمر قد يبدو خادعاً فإطار (/78813 0050) لديه 
أهداف واستخدامات مختلفة! فهو ليس مجرد نسخة جديدة ومحسنة أو منقحة من إطار 
الرقابة الداخلية الصادر عن لجنة المنظمات الراعية (0050©). فهو أكثر من ذلك بكثير. 
وتلخص الفقرات التالية هذا الإطار من منظور تحديد مكونات المخاطر ووضع أهداف 
إدارة المخاطر. إن هدفنا هنا هو تقديم إطار (883/1 0050) مع التركيز على الكيفية 
التي من خلالها يمكن أن تقوم إدارة المخاطر المؤسسية بتحسين الممارسات الخاصة بحوكمة 
تقنية المعلومات داخل الممؤسسة. 


مكونات إطار (151231 005©0): البيئة الداخلية: 

كما هو موضح في الشكل التوضيحي (۸-٤)ء‏ يوجد عنصر يسمى البيئة الداخلية 
وضع في الجزء العلوي من المكونات الخاصة بإطار (81211 005©0). وباستخدام بعض 
المصطلحات القدهة» فإنه ينظر إلى البيئة الداخلية على أنها بمثابة تتويج إطار ( 6050© 
1 فبالعودة إلى العصر القديم حيث الجسور المشيدة من الطوب. كان التتويج 
عبارة عن الحجر الذي يلحم معاً أقواس الطوب التي ترتفع من كل جانب من جانبي 
الجسر لربط الجسر بأكمله معا. ويشبه مكون التتويج هذا أيضا المربع الموجود في الجزء 
العلوي من الهيكل التنظيمي» حيث يكون الرئيس التنفيذي (080) هو الرئيس المعين 
لهذه الوظيفة. فهذا المستوى هو الذي يعد أساساً لجميع المكونات الأخرى في نموذج إدارة 
المخاطر المؤسسية الخاص بالمؤسسة ويؤثر في الكيفية التي ينبغي أن يتم من خلالها وضع 
الإستراتيجيات والأهداف وكيفية هيكلة أنشطة الأعمال المتعلقة با مخاطر وكيفية تحديد 
المخاطر واتخاذ إجراءات بشأنها. ويتكون هذا العنصر الذي هثل الأساس الداخلي لإدارة 
المخاطر المؤسسية من العناصر التالية: 

فلسفة إدارة المخاطر: هي الاتجاهات والمعتقدات المشتركة التي تميز كيف أن المؤسسة 
تأخذ في الحسبان المخاطر في كل ما تفعله. وعلى الرغم من أن فلسفة إدارة المخاطر ليست 
في كثير من الأحيان أحد أنواع الرسائل المنشورة في مدونة قواعد السلوك. فإنها تعد أحد 
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الاتجاهات التي من شأنها السماح لكبار المديرين وغيرهم على جميع المستويات بالرد على 
اقتراح ما يخص المخاطر المرتفعة من خلال إجابة على غرار "لاء ليس هذا نوعا من المشروعات 
التي تهتم به شركتنا". وبالطبع» فإن المؤسسة التي تمتلك فلسفة مختلفة خاصة بها قد ترد 
على هذا الاقتراح نفسه بإجابة على غرارء "تبدو مثيرة للاهتمام ما معدل العائد المتوقع؟" في 
الحقيقة أن كلتا الإجابتين ليستا خاطتتينء لكن يجب على المنشأة أن تحاول تطوير فلسفة 
واتجاه محدد ومتناغم حول التي تُقبل بها المشاريع ا محفوفة بالمخاطر. 

الرغبة في المخاطر: مفهوم غير مألوف لدى كثير من المديرين» فالرغبة في المخاطر هي 
مقدار المخاطرة التي تكون المؤسسة مستعدة لقبولها في سعيها لتحقيق أهدافها. هذه الرغبة 
في ا مخاطر يمكن قياسها من حيث الكمية أو النوعية» لكن ينبغي على جميع مستويات 
الإدارة أن يكون لديها فهمٌ عامٌ لهذا المفهوم وكذلك رغبة في المخاطر المؤسسية بكاملها. 

مواقف مجلس الإدارة: لمجلس الإدارة دورٌ مهم جداً في مراقبة بيئة ا مخاطر للمؤسسة. 
لذلك يجب على المديرين المستقلين الخارجيين على وجه الخصوص مراجعة الإجراءات 
الإدارية بعناية» وطرح الأسئلة ا مناسبةء فهم يمثلون ضوابط الفحص والتوازن بالنسبة 
للمؤسسة. فعندما يكون أحد مسئولي المؤسسة الكبار قوياً ولديه توجةٌ يقضي بأن "هذا 
لا هكن أن يحدث هنا" عند النظر في المخاطر المحتملة المحيطة ببعض المساعي الجديدة 
فإن أعضاء مجلس الإدارة يكونون غالباً هم أفضل من يطرح الأسئلة الصعبة حول الكيفية 
المتعلقة برد فعل المؤسسة على حدث يقع وم يكن من المتوقع حدوثه. 

النزاهة والقيم الأخلاقية: إن هذا العنصر من عناصر البيئة الداخلية الخاص بإدارة 
المخاطر المؤسسية (88231) يحتاج إلى أكثر بكثير من مجرد مدونة قواعد سلوكية منشورة؛ 
بل إنه يدعو إلى نزاهة سلوك أعضاء المؤسسة وقوة معاييرهم. لذا يلزم وجود ثقافة قوية 
للشركات لتقوم بتوجيه المؤسسة: على جميع المستويات» في المساعدة على اتخاذ القرارات 
على أساس المخاطر المتعلقة بها. 

الالتزام بالكفاءة: تشير الكفاءة إلى المعرفة والمهارات اللازمة لإنجاز المهام المنوطة. 
والإدارة هي التي تقرر الكيفية التي يتم بها إنجاز تلك المهام الحرجة المسندة من خلال 
وضع إستراتيجيات مناسبة وتعيين أفراد مناسبين لأداء هذه ال مهام الإستراتيجية في أغلب 
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الأوقات: وقد رأينا جما افتقار ا مؤسسات لهذا النوع من الالتزام. وتقوم الإدارة العليا 
بوضع الخطط الكبيرة والمدوية من أجل تحقيق هدف ما إلا أنها غالبا لا تقوم ببذل أي 
جهد إيجابي من أجل تحقيق هذا الهدف. ويقوم سوق الأوراق المالية غالباً بفرض عقوبات 
على مثل هذه الأنشطة. 

الهيكل التنظيمي: ينبغي أن يكون لدى الهيكل التنظيمي للمؤسسة خطوط واضحة 
للسلطة والمسئولية إلى جانب الخطوط الملائمة لتقديم التقارير. إن البنية الضعيفة للهيكل 
التنظيمي تجعل من الصعب القيام بتخطيط وتنفيذ ورقابة ومتابعة الأنشطة. وقد شهد 
المهنيون جميعهم الأوضاع التي مم تسمح فيها بنية المؤسسة بتكوين خطوط اتصال مناسبة. 
تكليفات السلطة والمسئولية: 

هذا التكليف هو المدى أو الدرجة التي وفقاً لها يتم تكليف مستويات أو شرائح من 
السلطة وا مسئولية أو تفويضها مجموعات وإدارات مختلفة في المؤسسة. إن الاتجاه السائد 
اليوم في العديد من المؤسسات هو دفع هذه الأمور مثل مستويات سلطات الموافقة إلى 
المستويات الدنيا من هيكل المؤسسة: وذلك بإعطاء موظفي الخط الأول التفويض وسلطة 
الموافقة بشكل أكبر. وثمة اتجاه ذو علاقة وهو "تسطيح" المؤسسات من خلال القضاء على 
مستويات الإدارة الوسطى. هذه الهياكل المؤسسية تعمل عادة على تعزيز إبداع الموظف 
وسرعة الاستجابة وزيادة رضا العملاء. وتحتاج هذه النوعية من المؤسسات التي تتعامل 
0 لوجه مع العملاء إلى إجراءات قوية تحدد "القواعد" لجميع أعضاء ء طاقم العملء فضلاً 
عن متابعة الإدارة المستمرة لهذه الإجراءات حيث يمكن إلغاء قرارات إذا لزم الأمر. كما 
ينبغي على جميع الأفراد في المؤسسة أن يعرفوا كيفية ترابط أعمالهم وأن يسهموا في تحقيق 
الأهداف العامة للمؤسسة. 

المعايير الخاصة باط موارد البشرية: إن الممارسات التي تتبعها المئؤسسة فيما يتعلق بتوظيف 
وتدريب وتعويض وترقية وتأديب الموظف. وجميع الإجراءات الأخرى» تبعث برسائل إلى 
جميع أعضاء المؤسسة بشأن ما هو مفضل أو ما هو مسموحٌ به أو ما هو ممنوع. وعندما 
تقوم الإدارة بغض الطرف عن بعض أنشطة "المنطقة الرمادية' ' بدلاً من اتخاذ موقف قوي 
حيالهاء فإن هذه الرسالة تضل غالبا بسرعة إلى الآخرين في جميع أنحاء ابلؤسسة. 
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إن مكون البيئة الداخلية لإطار (813/1 0050) به اثنان من ا مخرجات الرئيسية التي 
تقوم بتغذية العناصر الأخرى في إطار (/58183 0050) وهما: فلسفة إدارة المخاطر في 
المؤسسة والرغبة النسبية في المخاطر. وبينما ناقشنا فلسفة إدارة المخاطر فيما يتعلق 
بمواقف مجلس الإدارة وسياسات الموارد البشرية» وأمور أخرى بينهماء فإن الرغبة في ا مخاطر 
يكون غالباً المقياس الأكثر مرونة عندما تقرر اللمؤسسة قبولها لبعض المخاطر ورفضها للبعض 
الآخر, وذلك تبعاً لاحتمالية حدوثها وتأثيرها. الشكل التوضيحي (0-1) يظهر خريطة 
الرغبة في المخاطر مما يدل على المدى الذي يتعين على المؤسسة وفقا له قبول المخاطر تبعاً 
لاحتمالية حدوثها وتأثيرها. وتقول خريطة الرسم البياني هذه أن المؤسسة قد تكون على 
استعداد للانخراط في مشروع ذي تأثير سلبي عال إذا كان هناك احتمالية منخفضة لحدوثه. 

شكل توضيحي (0-8) 


خريطة الرغبة في المخاطر 


تزيد عن رغبة 
المؤسسة في 
المخاطر 














كما أن هناك بعداً ثالثاً لهذا ا مخطط وهو أن المؤسسة في بعض الأحيان يكون لديها 
رغبة أكبر نحو المساعي المحفوفة با مخاطر إذا كان هناك إمكانية لتحقيق عائد أعلى. 
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مكونات إطار (78131 :)C050‏ وضع الهدف: 

تم إدراج هذ المكون أسفل مكون البيئة الداخلية من حيث الترتيب» إذ يلخص مكون 
تحديد الأهداف الخاص بإطار (581821 0050) بعض الشروط الاستباقية الضرورية التي 
يلزم توافرها قبل أن تقوم الإدارة بوضع عملية فعالة لإدارة المخاطر في المؤسسة. وبالإضافة 
إلى البيئة الداخلية المذكورة سابقا ينبغي على المؤسسة وضع أهداف عالية المستوى تغطي 
الأنشطة الخاصة بعمليات التشغيل وإعداد التقارير والامتثال الخاصة بها. 


ويدعو إطار (8۸۷ 0050) إلى وضع بيان للمهمة (الرسالة) وهو بيان عام ورسمي 
للأغراض التي يمكن أن تصبح اللبنة الأولى لتطوير إستراتيجيات وظيفية أكثر تحديداً ويصف 
غرض المنظمة وأهدافها ومواقفها العامة تجاه ا مخاطر. وإذا ما تم ذلك بشكل صحيح» فإن 
بيان المهمة (الرسالة) سيساعد المؤسسة على تحديد سلسلة من أهداف عمليات التشغيل 
وتطويرها وتنفيذها ورفع تقارير بها وتحقيق مبدأ التوافق في هذا الشأن. 

إن مكون البيئة الداخلية لإطار (81821 ©005) الذي سبق الحديث عنه؛ به اثنان من 
المخرجات الرئيسية هما: فهم فلسفة إدارة المخاطر في المؤسسة. وتقدير رغبة المؤسسة في 
المخاطر. هذان المخرجان يسمحان لمكون تحديد الأهداف بتطوير سلسلة من الأهداف 
للتقليل من المخاطر ولتعريف الرغبة في المخاطرة بشكل رسمي من حيث درجة تحمل 
المخاطر. ويقصد بدرجة تحمل المخاطر هنا الإرشادات أو المقاييس الرسمية التي يجب أن 
تستخدمها المؤسسة - على جميع المستويات - لتقدير ما إذا كانت ستقبل المخاطرة أم لا. 
إن وضع درجة تحمل المخاطر يكن أن يكون ضعباً للغاية بالنسبة.للمؤسسات الرسمية. 
كما ستظهر مشاكل إذا م تكن القواعد الموضوعة محددة ومعرفة بشكل واضح ومفهومة 
جيداً ومطبقة بصرامة. وغالباً ما يكون من الصعب تطبيق القواعد. فعلى سبيل ال مثالء» في 
مارس ٠٠١0‏ قام مجلس إدارة شركة بإعفاء الرئيس التنفيذي للشركة من منصبه بسبب 
"علاقة عاطفية" مع موظفة”". وكان يتم تجاهل هذا النوع من العلاقات غالباً في الماضي 
ولكن تم الاعتراف هنا باعتباره انتهاكاً طدونة قواعد السلوك» واتخذ المجلس راتات 
سريعة وحاسمة حيال ذلك. فإذا كانت المؤسسة تريد إقامة مجموعة صارمة من القواعد. 
فإنه ينبغي إنفاذها في جميع أنحاء الكيان. 
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إن أفضل نهج يمكن للمؤسسة اتباعه هو وضع بعض النماذج المقبولة لدرجة تحمل 
المخاطر. وهذا يعني أنها قد تضع مدى مسموحا به للمخاطر التي ستقبلها. فعلى سبيل 
المثال» تجد أن جميع المنتجات التي تأت من خط الإنتاج قد يكون لها معدلات خطأ مقبولة 
ومحددة بشكل مسبق وتكون أقل من قيمة معينة. فخط الإنتاج في ا مؤسسةء على سبيل 
المثاله قد يرغب في إنتاج سلع معدل خطأ لا يزيد عن ٠.٠٠0‏ في المئة. وهو معدل خطأ 
منخفض للغاية في العديد من المجالات, فإدارة الإنتاج في هذه الحالة ستقبل بمخاطر تخص 
أي مطالبات لضمان المنتج أو أي أضرار قد تلحق بسمعتها إذا وجدت أخطاء ضمن هذه 
الحدود الضيقة جداً. وبالطبع فإن نطاقات المخاطر في مؤسسة معنية بمنتجات الرعاية 
الصحية ستكون صارمة إلى أبعد حد. 

إن الفكرة الأساسية هنا تتمثل في أنه يجب على المؤسسة أن تحدد إستراتيجياتها وأهدافها 
المتعلقة با مخاطرء وفي ظل الإرشادات» يجب أن تقرر المؤسسة مدى رغبتها وتحملها للمخاطر. 
معنى» ما مستوى المخاطر التي تكون المؤسسة على استعداد أن تقبله» وبافتراض وجود تلك 
القواعد الخاصة بقبول ا مخاطرء فما هو المقدار الذي تكون على استعداد أن تحيد عنه فيما 
يخص هذه المقاييس المحددة بشكل مسبق؟ الشكل التوضيحي (1-۸) يلخص العلاقة بين 
هذه المكونات الخاصة بتحديد أهداف إطار (8131 0050) التي يمكن استخدامها ممؤسسة 
تصنيع متوسطة الحجم. فبدءاً من المهمه الشاملةء يكون النهج عبارة عن )١(‏ وضع الأهداف 
الإستراتيجية لدعم إنجاز تلك المهمة (؟) وضع إستراتيجية لتحقيق الأهداف (7) تحديد أي 
أهداف ذات علاقة و(6) تحديد الرغبات في المخاطر لاستكمال تلك الإستراتيجية. وقد تم 
تبني هذا المخطط من المواد الإرشادية المنشورة الخاصة بإطار (8783/1 0050). ومن أجل 
إدارة ا مخاطر على جميع المستويات ومراقبتهاء تحتاج المؤسسة إلى تحديد أهدافها وتحديد 
مدى تحملها للمخاطر عندما تضطر للانخراط في ممارسات محفوفة با مخاطر ومدى تمسكها 
بهذه القواعد. ولن تسير الأمور بالشكل السليم إذا ما قامت المؤسسة فقط بتحديد بعض 
الأهداف المتعلقة با مخاطر وبعد ذلك تستمر في تجاهلها. 


مكونات إطار (781231 0050): تحديد الحدث: 
يقصد بالأحداث الحوادث أو الوقائع الداخلية أو الخارجية في المؤسسة التي تؤثر في 
تنفيذ إستراتيجية إدارة المخاطر المؤسسية أو تحقيق أهدافها. وبينما يكون الاتجاه السائد 
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هو التفكير في مثل هذه الأحداث بشكل سلبي (تحديد الخطأ الذي حدث)» فإنه هكن 
أن تكون إيجابية أو سلبية أو كليهما. وبالرغم من أن العديد من المؤسسات اليوم تشهد 
مستوي قوياً من متابعة الأداء فإن عملية المتابعة تلك تميل إلى التركيز على مسائل مثل 
التكاليف والميزانيات وضمان الجودة والامتثال وما شابه ذلك. إن أهداف المخاطر الخاصة 
بإدارة ا مخاطر المؤسسية التي سبق الحديث عنها يمكن أن تصبح مفقودة في هذه العملية 
التي تختص بممتابعة المزيد من الأهداف التشغيلية والأهداف التشغيلية الموجهة نحو 
العملية بشكل أكبر. وتُطبق المؤسسات في العادة عمليات قوية لمتابعة مثل هذه الأحداث 
كالتباينات الملائمة في الميزانية وغير الملائمة على وجه الخصوص. 


شكل توضيحي (5-8) 


مكونات وضع أهداف المخاطر في ۴۸M‏ 0050© 
















| 
أن نكون شركة رائدة مُنِجَةُ للمنتجات التقنية الخاصة بتقنية المعلومات في جميع أنحاء العالم 





الاستراتيجية 
توسيع الإنتاج في جميع 
الأسواق لتلبية الطلب 





٠‏ تطوير المنتجات لدعم 
٠‏ تقليل أوفات الاختبار 
من اجل تحسين الإنتاج الأهداف ذات الصلة 
٠‏ عدم ابول أي انتقاص ٠‏ زيادة الإنتاج العالمي بنسبة 96)ا 
في جودة المنتج ٠‏ الاحتفاظ بجودة المنتج عند نسبة 4.0 سيجما 
٠‏ الإبقاء على معدل مرتجعات العملاء عند نسبة< 1896 
٠‏ تقليل الموظاين حول العالم بنسبة 296 


٠‏ وحدات الإنتاج 
٠‏ التقارير العالمية للجودة والاعتماد 
٠‏ مستويات الموظفين لكل وحدة أعمال 





درجات القدرة على تحمل المخاطر 
المقاييس المعيارية الأهداف درجات التحمل والنطاقات التي يمكن قبولها 
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ومع ذلك ففي كثير من الأحيان لا تكون هناك متابعة منتظمة: سواء للأحداث الفعلية 

آم للعوامل المؤثرة التي تعد الدافع وراء مثل هذه الأحداث الخاصة بتقلبات الميزانية. 

وتشمل بعض العوامل المؤثرة التي ينبغي أن تكون جزءاً من عنصر تحديد الأحداث ف إطار 

ERM)‏ ©0050) ما يلي: 

٠‏ الأحداث الاقتصادية الخارجية: قد تؤثر الاتجاهات الجارية: قصيرة كانت أم طويلة 
الأجل» في بعض عناصر الأهداف الإستراتيجية للمؤسسة. ومن ثم يكون لها تأثير في الإطار 
العام لإدارة ا مخاطر المؤسسية. ومثال على ذلك الحدث الاقتصادي الخارجي الذي وقع 
في ٦‏ مايو ٠٠٠١‏ والذي شهدت فيه أسواق الأسهم الأمريكية والعالمية خسائر فادحة 
فيما كان يعرف باسم الانهيار السريع (0225 طءه۴1). وقد استردت الأسواق عافيتها 
بسرعة» إلا أن الحدث قد تسبب في قيام العديد باتخاذ إجراءات علاجية متسرعة وكانت 
غالباً غير مدروسة بشكل جيد. وقد كان هذا الحدث الاقتصادي الخارجي غير متوقع 
بالمرة. . 

٠‏ الكوارث البيئية الطبيعية: إن العديد من الأحداث» مثل الحرائق أو الفيضانات أو 
الزلازل» يمكن أن تصبح حوادث أثناء تحديد المخاطر الخاصة بإدارة المخاطر المؤسسية. 
ويمكن أن تشمل الآثار هنا فقدان إمكانية الوصول إلى بعض المواد الخام الرئيسية» أو 
أضراراً جسيمة يمكن أن تلحق با مرافق المادية أو عدم توفر الموظفين. 

٠‏ الأحداث السياسية: قد ينتج عن القوانين واللوائح الجديدة وكذلك نتائج الانتخابات» 
مخاطر مؤثرة يكون لها تأثيرات ذات صلة بالمخاطرعلى المؤسسات. ويكون لدى العديد 
من المؤسسات الكبيرة إدارة خاصة بالشئون الحكومية تستعرض التطورات والمساعي 
المبذولة لإجراء التغييرات. ومع ذلك فإن مثل هذه الإدارات قد لا تتماشى دائماً مع 
أهداف إدارة المخاطر ال مؤسسية. 

٠‏ العوامل الاجتماعية: بينما يكون حدث خارجي مثل الزلزال مفاجتاً ويحدث دون سابق 
إنذار» فإننا نجد أن معظم التغيرات الخاصة بالعوامل الاجتماعية تكون عبارة عن أحداث 
تتطور ببطء. وتشمل هذه الأحداث التغيرات الدهوغرافية والأعراف الاجتماعية وغيرها 
من الأحداث التي قد تؤثر في المئؤسسات وعملائها مع مرور الوقت. ومثال على التغيير 
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المجتمعي واقعة الإقالة تلك التي تمت الإشارة إليها سابقاً للرئيس التنفيذي للشركة بسبب 
علاقة غير شرعية تمت بالتراضي مع موظفة أخرى بالشركة ربما تم تجاهلها لو حدثت في 
عصر آخر. إلا أن تغير العادات الاجتماعية اليوم هو الذي أدى إلى تلك الإقالة. 

٠‏ أحداث البنية التحتية الداخلية: في كثير من الأحيان تقوم المؤسسات بإجراء تغيرات 
حميدة من شأنها أن تؤدي إلى أحداث أخرى متعلقة بالمخاطر. فعلى سبيل المثال» 
التغير في إجراءات خدمة العملاء هكن أن يسبب شكاوى كبرى وانخفاضاً في رضا العملاء. 
فالطلب الشديد والمتصاعد على منتج جديد من قبل العملاء قد يؤدي إلى تغيرات في 
متطلبات الطاقة الاستيعابية للمصنع والحاجة إلى المزيد من الموظفين. 

٠‏ الأحداث المتعلقة بالعمليات الداخلية: على غرار أحداث البنية التحتية يمكن أن تؤدي 
التغيرات في العمليات الرئيسية إلى وقوع مجموعة كبيرة من الأحداث المتعلقة بتحديد 
المخاطر. وكما هو الحال بالنسبة للعديد من هذه العناصر,ء فإن تحديد المخاطر قد لا 
يكون فورياً وقد يمر بعض الوقت قبل أن تشير الأحداث المتعلقة بالعملية إلى الحاجة 
إلى تحديد المخاطر. 

٠‏ الأحداث التقنية الخارجية والداخلية: تواجه جميع المؤسسات الكثير من الأحداث 
التقنية المتواصلة التي يمكن أن تؤدي إلى الحاجة إلى تحديد رسمي للمخاطر, فبعضها يتم 
تدريجياً مع مرور الوقت في حين أن البعض الآخر يكون مفاجئاً بشكل كبير. فقد كانت 
الشبكة العنكبوتية العالمية لوقت ما قيد استخدامناء إلا أن التحول إلى بيئة الإنترنت 
بالنسبة للكثيرين تم بشكل تدريجي إلى حد ما. وفي حالات أخرىء فإن التوسع في نظم 
حوسبة الشبكات الاجتماعية التي تم الحديث عنها في الفصل الحادي والعشرين من هذا 
الكتاب كان له تأثير كبير في المؤسسات من حيث العلاقات مع أصحاب المصلحة لدى 
المؤسسة وسمعتهم. 

تحتاج أي مؤسسة إلى تعريف واضح ما تراه عبارة عن أحداث هامة للمخاطر, ومن ثم 
يجب أن يكون لديها عمليات مطبقة لمتابعة كل أحداث المخاطر الهامة المحتملة المتنوعة 
تلك» وعلى هذا يمكن للمؤسسة أن تتخذ الإجراءات المناسبة. وفي الواقع يعد هذا أحد أنواع 

التفكير الواعد لعملية تكون غالبا صعبة الإدراك داخل العديد من المؤسسات. 
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إن عملية النظر في مختلف الأحداث الداخلية والخارجية المحتملة للمخاطر واتخاذ 
قرار بشأن أي من هذه الأحداث يتطلب مزيداً من الاهتمام وقد يكون أمراً صعباً لكن 
إطار (5883/1 0050) يقدم هنا بعض المساعدة فهو يقترح أن تقوم المؤسسة بوضع بعض 

العمليات الرسمية لمراجعة المخاطر الهامة المحتملة ومن ثم تبدأ عملية اتخاذ الإجراء. 

وتا لإزقناذات إظار (/18533 66050): فإن المؤسمةمقل تأخذة:بحيق الاغتبار يعضاً هن 

الأساليب التالية: 

٠‏ مستودعات الأحداث: ينبغي على إدارة المؤسسة أن تراجع الأحداث الأخرى المتعلقة با مخاطر 
الشائع حدوثها في الصناعة أو في مجال وظيفي معين لإحدى المؤسسات. بمعنى أنه يجب 
على المؤسسة أن تنظر في إنشاء أرشيف مصدري ل "الدروس المستفادة". ويعد هذا نوعاً من 
أنواع البيانات التاريخية التي تم الحصول عليها عن طريق أعضاء في المؤسسة طالت مدد 
بقائهم فيهاء ويمكنهم تقديم أنواع من التعليقات مثل "لقد جربنا ذلك منذ عدة سنوات» 
ولكن ...". إن هذا النوع من التأريخ في كثير من الأحيان يكون غير موجود في مؤسسات 
اليوم» غير أن الإدارة الفعالة لإدارة ا مخاطر يمكن أن توفر بعض المساعدة في هذا المقام. 

٠‏ ورش العمل الميسرة: يمكن للمؤسسة أن تعقد ورش عمل للعديد من الإدارات لتناقش 
بداية العوامل المحتملة للمخاطر التي يمكن أن تكون نتيجة للأحداث الداخلية أو 
الخارجية المتنوعة ومن ثم تقوم بتطوير خطط عمل لتصحيح المخاطر المحتملة. يعد 
هذا أحد الأساليب المقترحة التي تبدو جيدة: لكن جرت العادة بالنسبة للعديد من 
المؤسسات أنها لا تقوم بتخصيص جزء من أوقاتها الثمينة لمقابلة مجموعات من مختلف 
الإدارات للحديث عن المخاطر باستخدام صيغة من نوع "ماذا سيحدث لو .." 

٠‏ مقابلات واستبيانات واستطلاعات: إن المعلومات التي تخص أحداث المخاطر المحتملة 
يمكن أن تأي من مجموعة واسعة من المصادر. مثل التعليقات على خطابات رضا العملاء 
والتعليقات التي تأي من نظم وسائل التواصل الاجتماعي. أو التعليقات الصادرة من 
المقابلات النهائية مع الموظفين التاركين لوظائفهم. وهناك حاجة للحصول على المعلومات 
وتصنيفها من أجل تحديد أي منها هكن اعتباره مؤشراً على وجود أحداث مخاطر. وهذه 
الأنواع من الردود ستساعد على بناء ثقافة إدارة المخاطر اممؤسسية. 
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©050©( تحليل تدفق أو سير العمليات: إن المواد الخاصة بدعم تقنيات تطبيق إطار‎ ٠ 
توصي باستخدام مخططات التدفق مراجعة العمليات وتحديد الأحداث المحتملة‎ ۴۵۷ 
للمخاطر, وبالنسبة للعديد من المؤسسات فإن مخططات تدفق العملية تتشابه إلى حد‎ 
بعيد مع وثائق الرقابة الداخلية التي كان ينبغي إعدادها وتحديثها باعتبارها جزءاً من‎ 
من قوانين ساربينز- أوكسلي «50, حيث يتم تحديد‎ ٤٠٠٤ أعمال التوثيق الخاصة بالبند‎ 
الضوابط الداخلية وأي نقطة من نقاط الضعف الموجودة في العملية الرقابية. وقد تم‎ 
مناقشة هذه العمليات في الفصل الثاني من هذا الكتاب الخاص بقانون ساربينز أوكسلي.‎ 

٠‏ الأحداث الرائدة ومحفزات التصعيد: يجب على إدارة المؤسسة أن تقوم بوضع سلسلة 
من الأهداف الخاصة بوحدة الأعمالء ولا شك أن معايير القياس ضرورية لتحقيق تلك 
الأهدافء فمعايير درجة تحمل المخاطر تكون ضرورية لتعزيز الإجراءات التصحيحية. 
فعلى سبيل المثالء قد تقوم مجموعة تقنية المعلومات في ا لمؤسسة بوضع هدف للحفاظ 
على الضوابط الأمنية المعززة بشأن التهديدات الهجومية لاختراق شبكة تقنية ا معلومات. 
وبقياس عدد محاولات الاقتحام التي تم تحديدها خلال فترة معينة: وجدنا أن عتبة 
thresh‏ ذلك تجاوزت رها ثلاث تدخلات في شهر معينء مما أدى إلى اتخاذ مزيد من 
الإجراءات. وتوجد اليوم آدؤاك برمضية حيدة جد معاحة من الوحات اماك 
dashboards‏ لتابعة الأداء الخاص بجوانب المؤسسة: وفي الغالب تكون معقدة للغاية. 
هذه التطبيقات تعمل على نحو بمماثل عمل التحكم على لوحة العدادات في السيارة إذ 
إن المؤشرات تعطي إشارات ضوئية في روف معينة مثل انخفاض ضغط الزيت أو ارتفاع 
درجة حرارة المحرك. والفكرة هي أن يُقدم تقريرٌ عن حالة المخاطر من خلال رسومات 
بسيطة: سهلة الفهم إلى حد ما مثل الأسهم العلوية أو السفلية أو شعارات إشارة المرور 
الشائعة الحمراء والصفراء والخضراء. 

٠‏ تتبع بيانات أحداث الخسارة: في حين أن أسلوب لوحة المعلومات يقدم فقط متابعات 
اكاك حاط وف جد وفهاء: فاته کون :من ات غالب وضع الأمور في نصابها بعد 
مرور بعض الوقت. ويشير تتبع حادث الخسارة إلى استخدام كل من مصادر قاعدة 
البيانات الداخلية والعامة لتتبع النشاط في المجالات ذات الاهتمام. ويمكن لهذه المصادر 
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أن تغطي مجموغة وة من اللجالات ندع من اة وة رات الافعضادية إل أن قصل 
إلى معدلات فشل المعدات الداخلية. ومرة أخرىء يجب على المنشأة تثبيت عمليات 
فعالة لتحديد المخاطر بهدف تتبع كل من الأحداث الداخلية اغا جية المتعلقة 
با مخاطر. 
إن أدوات وأساليب تحديد ا مخاطر التي تمت مناقشتها للتو هكن أن تسفر عن بعض 
اللعلؤمات القيمة جد والمفيدة للمؤسسة. والتي تحدد إما ا مخاطر وإما الفرص أو الاثنين 
معاً. إن الحل يكمن في الحاجة إلى تحليلات جيدة للبيانات» فضلاً عن الشروع في خطط 
عمل» سواء للحماية من المخاطر أو للاستفادة من الفرص المحتملة. 


مكونات إطار (181831 0050): تقييم المخاطر: 
تحدثنا عن مكون البيئة الداخلية باعتباره ت تتويجا أو حجر زاوية لإطار 8۸M)‏ 0050©)» 

مع مكون المتابعة باعتباره عنصراً أساسياً لدعم الإطار. ويقع عنصر تقييم المخاطر كقريباً 

في وسط الإطار ويمثل جوهر إطار (۷ ۴۸ 0050). كما يسمح مكون تقييم المخاطر 
للمؤسسة بالنظر في الأثر المحتمل للأحداث المرتبطة با مخاطر المحتملة على إنجاز المؤسسة 
لأهدافها. ويجب تقييم هذه المخاطر من منظورين: احتمالية حدوث المخاطر, وتأثيرها 
المحتمل. وكجزء أساسي لعملية تقييم ا مخاطر هذه. تحتاج الإدارة أيضاً إلى أن تنظر في 

مفهومين أساسيين: المخاطر المتأصلة وا مخاطر المتبقية. 

-١‏ المخاطر المتأصلة (الكامنة): كما حددها مكتب الحكومة الأمريكية للإدارة والميزانية, 
فإن المخاطر المتأصلة هي "إمكانية هدر أو فقدان أو استخدام غير مصرح به أو اختلاس 
أو استغلال بسبب طبيعة النشاط نفسه". والعوامل الرئيسية التي تؤثر في المخاطر 
المتأصلة في أي نشاط داخل الشركة هي حجم ميزانيته وقوة إدارة المجموعة وحنكتها 
وببساطة الطبيعة الأصيلة لأنشطتها. وتكون المخاطر المتأصلة خارجة عن سيطرة الإدارة 
ونابعة عادة من العوامل الخارجية. فعلى سبيل المثالء متاجر التجزئة الرئيسية وول 
مارت ةله كبيرة جداً ومهيمنة على أسواقها ويواجهها مستوى معين من مختلف 
المخاطر اللتأصلة بسبب حجمها الهائل. 
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؟- المخاطر المتبقية: هي تلك المخاطر التي تبقى بعد استجابة الإدارة لتهديدات المخاطر 

وطق الإجراءات الكضادة: :يوعد ذامما مسعوق :فا من اللخاظن اللشقنة: 

يدل هذان المفهومان على أن إدارة المؤسسة ستواجه دائماً بعض المخاطر. فبعد أن تقوم 
المؤسسة بمعالجة المخاطر التي خرجت من عملية تحديد المخاطر, فإنها تظل تواجه بعض 
المخاطر المتبقية التي يلزم علاجها لاحقاً كالعديد من ا مخاطر المتأصلة القليلة التأثير. وول 
مارت» على سبيل المثال» يمكن أن تتخذ بعض الخطوات للحد من المخاطر المتأصلة المتعلقة 
بهيهنة السوق. لكنها لا يمكن أن“ تفعل شيئا أساسيا بشان المخاظر المتأضلة (الكامنة) 
لزلزال طبيعي كبير في منطقة عمليات التشغيل. 

إن الاحتمالية والتأثير هما أيضاً مكونان رئيسيان آخران ضروريان لتقييم المخاطر. 
فالاحتمالية هي إمكانية حدوث مخاطرة ماء وتوصف غالباً بأنها احتمال مرتفع أو احتمال 
متوسط أو احتمال منخفض للمخاطر التي تحدث. وتوجد بعض الأدوات الكمية الجيدة 
هنا كذلك» لكنها غير مجدية كثيراً في تقدير احتمالية حدوث المخاطرة من حيث العلامة 
العشرية المتعددة إذا لم يكن هناك أي أساس لتطوير ذلك العدد الدقيق إلى ما هو أبعد 
من الحسابات الإحصائية الاعتيادية. 

إن تقدير التأثير في حالة حدوث المخاطرة يعتبر أسهل بعض الشيء. فيمكن أن تقوم 
المؤسسة بوضع بعض التقديرات الدقيقة نسبياً لأمور مثل تكلفة استبدال المرافق والمعدات» 
تكلفة استعادة نظام معين» وإلى حد ما تكلفة الفرص التجارية الضائعة (الأعمال الخاسرة) 
بسبب العطل. وعلى كل حال فإن المفهوم الشامل وراء إدارة المخاطر المؤسسية (58:83/1) ليس 
تطوير حسابات دقيقة وحسابات على المستوى الاكتواري فيما يخص المخاطر لكن للحصول 
على مقياس معين لتوفير إطار فعال لإدارة ا مخاطر. ويمكن تطوير تحليل احتماليات المخاطر 
والتأثيرات المحتملة من خلال سلسلة من المقاييس النوعية والكمية. فالفكرة الأساسية هي 
تقييم جميع المخاطر التي تم تحديدها وتصنيفها من حيث الاحتمالية والتأثير بطريقة متناغمة. 
مكونات إطار (151231 ©0050): الاستجابة للمخاطر: 


إن الخطوة التالية بعد تقييم المزيد من المخاطر الهامة وتحديدهاء هي تحديد كيفية 
الاستجابة لمختلف هذه المخاطر التي تم تحديدها. وتعد هذه من المسئوليات الإدارية, 
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فالإدارة هي التي تقوم بإجراء مراجعة دقيقة لاحتمالات المخاطر المقدرة وتأثيراتها ا محتملة. 
كما أنها تأخذ في الاعتبار التكاليف والفوائد المرتبطة بها. ولوضع إستراتيجيات ملانمة 
للاستجابة للمخاطر يتم اتباع أي أسلوب من الأساليب الأربعة الأساسية: 

-١‏ التفادي (التجنب): إستراتيجية تعتمد البعد عن المخاطرء مثل بيع أحد وحدات الأعمال 
التي يمكن أن تؤدي إلى مخاطرة أو الخروج من منطقة جغرافية محل قلق. وتكمن 
صعوبة تطبيق هذه الإستراتيجية في أن المؤسسات في كثير من الأحيان لا تتخلى عن 
المنتج أو تبتعد عن المخاطر إلا بعد أن يقع الحدث الخاص با مخاطرة. فإذا لم تكن 
هناك رغبة في المخاطر حتى وإن كانت منخفضة للغاية» فمن الصعب الابتعاد عن 
منطقة العمل أو خط الإنتاج بسبب ظهور مخاطر محتملة في المستقبل: هذا إذا ما 
كان كل شيء في الوقت الحاضر يسير على ما يرام في نواح أخرى. وقد تكون إستراتيجية 
التفادي مكلفة إذا كانت الاستثمارات قد اعتمدت للدخّول في منطقة مرتبطة بحدوث 
انسحاب تبعي لتجنب ال مخاطر. 

؟- التخفيف: قد تكون قرارات الأعمال قادرة على الحد من مخاطر معينة. فتنويع 
المنتجات قد يقلل من مخاطر الاعتماد القوي للغاية على خط إنتاج واحد رئيسي. كما 
أن تقسيم مركز عمليات تشغيل تقنية المعلومات إلى موقعين منفصلين جغرافياً سيقلل 
من مخاطر بعض الأعطال الكارثية. وتوجد مجموعة واسعة من الإستراتيجيات الفعالة 
في كثير من الأحيان للحد من المخاطر على جميع المستويات التي تنزل بها إلى المرحلة 
الدنياء لكنها تكون مهمة من الناحية العملية مموظفي التدريب المتعدد التخصصات. 

“- المشاركة: تتقاسم جميع المؤسسات تقريباً وكذلك الأفراد بصورة منتظمة بعض 
مخاطرها من خلال شراء التأمين لتطويق تلك المخاطر أو مشاركتها. وهناك العديد 
من التقنيات الأخرى المتوفرة هنا كذلك. فبالنسبة للمعاملات المالية» فإن المؤسسة 
يمكن أن تنخرط في العمليات التحوطية للحماية من تقلبات الأسعار المحتملة. ومن 
الأمثلة الشائعة على التطويق هو استخدام المستثمر لخيارات البيع أو الطلب لتغطية 
التحركات القوية للأسعار. كما يمكن مشاركة المخاطر والمزايا المحتملة للأعمال من خلال 
اتفاقيات مشتركة. 
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ع- القبول: ويقصد بها إستراتيجية اللاإجراء: 'فمقلاً عندما يكون لدى المؤسسة "تأمين 
ذاتي" ضد بعض ال مخاطرء فبدلاً من شراء وثيقة تأمين في الأفناس. :بخن غل اللؤسمة 
أن تنظر في احتمالية المخاطرة وأثرها في ضوء تحمل المخاطر ال موضوعة» وبعد ذلك 
تقرر ما إذا كانت ستقبل هذه ا مخاطرة أم لا. ونظراً لكثرة المخاطر وتنوعهاء هكن 
أن يكون هذا هو نهج المؤسسة. فالقبول غالبا ما يشكل إستراتيجية ملائمة لبعض 
المخاطر. 
وينبغي على الإدارة وضع إستراتيجية عامة للاستجابة لكل مخاطرة من مخاطرها 

باستخدام نهج قائم على أحد هذه الإستراتيجيات الأربع العامة. وللقيام بذلك» ينبغي 

النظر في التكاليف مقابل الفوائد الناتجة عن كل استجابة للمخاطر ا محتملة لمواءمتها 

بشكل أفضل مع الرغبة في المخاطر الإجمالةللمؤسمة: افمغلة إدراك الؤسمكة تان 
تأثير مخاطرة معينة يكون منخفضاً نسبياً سيتم موازتته مقابل درجة تحمل منخفضة 
للمخاطرة. وهذا يشير بدوره إلى أن التأمين يجب شراؤه لتوفير الاستجابة للمخاطر 
المحتملة. وبالنسبة لكثير من المخاطرء فإن الاستجابات المناسبة تكون واضحة ومفهومة 
تقريباً للجميع. فعملية تشغيل تقنية ا معلومات» على سبيل المثال. ينبغي أن تستهلك 
الوقت والموارد لإجراء نسخ احتياطية لملفات البيانات الرئيسية وتنفيذ خطة استمرارية 

العمل. 
إن ا مؤسسة» عند هذه النقطة: يجب أن تعود إلى الأهداف العديدة للمخاطر التي 

تم وضعها وكذلك نطاقات تحمل تلك الأهداف. ومن ثم ينبغي أن تعيد مناقشة كل من 

الاحتمالية والتأثير المرتبطين بكل مخاطرة من المخاطر التي تم تحديدها ضمن أهداف المخاطر 
تلك لوضع تقييم لكل من هذين الصنفين للمخاطر. كما يلزم إجراء تقييم شامل لاستجابات 

ا مخاطر المخطط لها وكيفية مواءمة تلك المخاطر مع درجات التحمل الكلية للخاطر اممؤسسة. 

وعند هذه النقطة في عملية تقييم ا مخاطرء يتعين على المؤسسة أن تَقَيّم الاحتمالية والتأثير 

المحتمل لكل من المخاطر المحيطة بأهدافهاء وكذلك بعض التقديرات لكل منهما. وتقوم 
بالخطوة التالية ا متمثلة في تطوير مجموعة من استجابات اللخاطر! المحتملة. ولعل هذه 
هي أصعب خطوة في بناء إطار برنامج فعال لإطار (/783 2050). فمن السهل نسبياً 
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تحديد خمسة في المئة من احتمالية مخاطر وقوع حريق في حاوية نفايات» ومن ثم وضع 
الخطوط العريضة للاستجابة للمخاطر كتثبيت طفاية حريق في مكان قريب. ومع ذلكء فإن 
الاستجابات لمعظم المخاطر تكون أكثر تعقيداً وتتطلب خططا تفصيلية إلى حد ما للاستجابة 
للمخاطر. 

ويجب على المؤسسة في البداية استعراض جميع مخاطرها الرئيسية المحددة ذات التأثير 
العالي والاحتمالية العالية ووضع سلسلة من خطط الاستجابة للمخاطر. وعلى أية حال» 
قد تكون هذه عملية إدارية صعبة. وعلى الرغم من أنها قد تكون سهلة نسبياً كاتباع 
مثالنا السابقء الخاص بتثبيت طفاية حريق لتوفير الحماية من حرائق حاوية نفاياتء 
فإن الأمور لا تكون عادة بهذه البساطة. والنقطة الأساسية هنا تتضح في أن عملية 
تطوير عمليات الاستجابة للمخاطر في حد ذاتها تتطلب قدراً كبيراً من التخطيط والتفكير 
الإستراتيجي. إن البدائل العديدة والمختلفة للاستجابة للمخاطر تنطوي على التكاليف 
والوقت والتخطيط التفصياي للمشروع. وبالإضافة إلى التخطيط والتفكير الإستراتيجي» 
فإن هذه العملية الخاصة بتخطيط الاستجابة للمخاطر تتطلب مساهمة إدارية كبيرة 
والموافقة على التعرف على مختلف الاستجابات البديلة للمخاطر ووضع خطط عمل موضع 
تنفيذ لتحقيق الاستجابات المناسبة. ويدعو إطار (78182314 0050) إلى مواجهة المخاطر 
التي يتعين النظر فيها وتقييمها على مستوى الكيان أو على مستوى المحفظة وتقييمها 
وتقديرها لكل وحدة من وحدات العمل الفردية أو تقسيمها حسب الإدارة أو حسب 
الوظيفة وأساليب مماثلة للنظر في مخاطر المؤسسة. وينبغي بعد ذلك تلخيص المخاطر 
بناء على أثرها وتكرار حدوثها. وكما هو مبين في الشكل التوضيحي (۷-۸)» يعد هذا أحد 
أنواع الاتصالات المستخدمة الذي من شأنه أن يساعد الإدارة العليا ومجلس الإدارة في فهم 
محفظة من المخاطر التي تواجه المؤسسة. 
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شكل توضيحي (۷-۸) 


$300 


التأثير على عوائد التشغيل 
(بالمليون دولار) 
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مرتفع متوسط امسخقص 
مرة أو اكثر كل مرة من سنه إلى أقل من مرة كل 
سنة ثلاث سنوات خمس سنوات 
تكرار الحدوث 


مكونات إطار(M ٤۸‏ 0050©0): أنشطة الرقابة: 

إن الأنشطة الرقابية لإطار (/58182 0050) هي السياسات والإجراءات اللازمة لضمان 
تنفيذ الاستجابات للمخاطر التي تم تحديدها. وعلى الرغم من أن بعض هذه الأنشطة 
قد تكون مرتبطة فقط بالاستجابة للمخاطر التي تم تحديدها وا مخاطر المقبولة في منطقة 
اغد من اة فإنها مداخل غالا من خلال الإدارات والوخذات اللتعدذة. وجب 
أن ترتبط أنشطة الرقابة الخاصة بإطار (8131 ©005) بشكل وثيق مع عنصر الاستجابة 
للمخاطر الذي سبق مناقشته. 

وبعد أن يتم اختيار الاستجابات المناسبة للمخاطرء يجب على إدارة المؤسسة اختيار 
أنشطة الرقابة الضرورية لضمان أن استجابات المخاطر تلك يتم تنفيذها في الوقت المناسب 
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وبطريقة فعالة. إن عملية مراجعة مدى صحة تنفيذ أنشطة الرقابة في العادة تكون 
مشابهة جداً للعمليات التي تمارس على أنها جزء من البند ٤٠٤‏ من قوانين ×80 الخاص 
بتقييمات الرقابة الداخلية" التي تم الحديث عنها في الفصل الثاني من هذا الكتاب. 
ويمكن تنفيذ أنشطة الاستجابة للمخاطر الخاصة بإطار (5813/1 ©005) بالخطوات 
التالية: 
-١‏ تحقيق فهم قوي للمخاطر المؤثرة التي تم تحديدها ووضع إجراءات رقابية لمتابعة تلك 
المخاطر أو تصحيحها. 
؟- وضع إجراءات اختبارية لتحديد ما إذا كانت تلك الإجراءات الرقابية المتعلقة با مخاطر 
تعمل على نحو فعال أم لا. 
- أداء اختبارات لإجراءات الرقابة لتحديد ما إذا كانت عملية متابعة المخاطر التي تم 
اختبارها تعمل بشكل فعال وكما هو متوقع آم لا. 
-٤‏ إجراء التعديلات أو التحسينات الضرورية لتحسين عمليات متابعة المخاطر. 
هذه العملية ذات الخطوات الأربع هي في الأساس ما تخضع له المؤسسات من متطلبات 
قانون ×50 التي كانت تقوم بمراجعة عمليات الرقابة الداخلية لديها واختبارها والتأكيد 
على أنها تعمل بشكل مناسب. ويوجد فرق رئيسي هنا مضمونه أن المؤسسة مطالبة بشكل 
قانوني بالامتثال لإجراءات قانون ×80 من أجل التأكيد على ملاءمة ضوابطها الداخلية 
لمدققيها الخارجيين. ولا توجد مثل هذه المتطلبات القانونية مع إطار (/15883 0050). 
وينبغي أن تسعى المؤسسة لتثبيت أنشطة رقابية لمتابعة المخاطر من أجل تقييم ا مخاطر 
المختلفة التي قامت بتحديدها. وبسبب الطبيعة الحساسة للعديد من المخاطر التي 
فغرض الها وة فزن اللقابعة الإذازية للمحاظن: تن مام جا اة للسلاقة 
العامة للمؤسسة نظرا لطبيعة المخاطر المختلفة التي قد تواجهها. 
إن العديد من الأنشطة الرقابية المندرجة تحت الضوابط الداخلية الصادرة عن لجنة 
انظ مات الزاغية:(660356)تكونشهلة التحديق والأغتبار إل حدما نظيرا للطبيعة 
الممحاسبية بالنسبة للكثيرين» وهي بشكل عام تشمل ما يلي: 
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٠‏ فصل اللمهام: إن المفهوم الأساسي للرقابة هو أن الشخص الذي يبدأ المعاملة لا ينبغي أن 

يكون هو الشخص نفسه الذي يقوم باعتماد تلك المعاملة. 
٠‏ مسارات التدقيق: ينبغي تنظيم العمليات» فمثل هذه النتائج النهائية يمكن أن تعزى 

بسهولة إلى المعاملات التي تكون قد تسببت في وجود تلك النتائج. 
٠‏ الأمن والسلامة: يجب أن يكون لعمليات الرقابة إجراءات رقابية مناسبة, وفي مثل هذه 

الحالة يمكن للأشخاص ال مخولين فقط مراجعتها أو تعديلها. 
٠‏ التوثيق: يجب أن تكون العمليات موثقة بشكل مناسب. 

إن تلك الإجراءات الرقابيةء وغيرهاء يسهل استيعابها بشكل جيد إلى حد ماء وتقبل 
التطبيق على جميع عمليات الرقابة الداخلية المعمول بها في المؤسسة. كما أنها تنطبق إلى 
حد ما على كثير من الأحداث المتعلقة با مخاطر. فالعديد من كبار ا مديرين يمكنهم بسهولة 
تحديد بعض الضوابط الأساسية اللازمة في العديد من عمليات الأعمال. فعلى سبيل المثال» 
لاطت منهم تحديد نوعيات معينة من الضوابط الداخلية التي ينبغي أن تُبنى داخل 
نظام تقنية المعلومات الخاص بحسابات المدفوعاتء فإن العديد من المهنيين سيقومون 
بتحديد نقاط رقابة هامة كوجوب اعتماد الشيكات الصادرة من النظام من قبل عدة 
أشخاصء كما يجب أن تكون السجلات المحاسبية في موضع التنفيذ لتتبع الشيكات الصادرق 
كما ينبغي أن تكون عملية إصدار الشيك للأشخاص المخولين فقط ممن يمكنهم بدء مثل 
هذه المعاملات المالية. وتعد هذه بشكل عام إجراءات الرقابة المفهومة جيدا وعلى نطاق 
واسع. وتواجه المؤسسة غالباً مهمة أكثر صعوبة في تحديد أنشطة الرقابة لدعم إطار إدارة 
المخاطر المؤسسية الخاص بها. 
وكما تخد تاسايق قكجزء مق كون تحديد اذاف إذازة لاط ر اوم 823017 

فإن الإدارة تحتاج إلى التفكير في فئات ال مخاطر هذه من حيث مجالات المخاطر الرئيسية 
لعمليات التشغيلء مثل الإيرادات والشراء وإنفاق رأس ال مال» ونظم المعلومات. كما 
يمكن تعريف أنشطة رقابية بعينها تتعلق بالمخاطر داخل كل فئة من هذه الفثات» سواء 
للمؤسسة بكاملها أم التي تغطي وحدة أو إدارة ما. وبالرغم من عدم وجود مجموعة من 
الأنشطة الرقابية المقبولة أو المعيارية الموحدة لإدارة المخاطر المؤسسية حتى هذا الوقت» 
فإن وثائق إطار (/883 ©0050) تشير إلى عدة مجالات على النحو التالي: 
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٠‏ مراجعات المستوى الأعلى: بينما تكون الإدارة العليا غافلة إلى حد ما عن إجراءات الرقابة 
الداخلية الخاصة ب"هل الحسابات المدينة تساوي الحسابات الدائنة؟" التي تغطيها فرق 
ومدققو الحسابات المالية لديهاء فإنهم يجب أن يكونوا على علم تام بأحداث المخاطر التي 
تم تحديدها داخل الوحدات التنظيمية: وينبغي إجراء مراجعات بصورة منتظمة وعلى 
مستوى عال حول وضع المخاطر التي تم تحديدها وكذلك التقدم المحرز في استجابات 
اللقاطكن. .هذا التو من بارج اللتعظمة إل جاني:الجعراءاث التضحخرة اللقاسية 
العالية المستوى يُعد نشاط الرقابة الرئيسي لإدارة ا مخاطر المؤسسية. 

٠‏ الإدارة الفنية أو الوظيفية المباشرة: بالإضافة إلى المراجعات ذات المستوى الأعلى المذكورق 
فإنه ينبغي أن يكون لمديري الوحدات الوظيفية والوحدات المباشرة دور رئيسي في متابعة 
الأنشطة الرقابية للمخاطر. وهذا أمر مهم ولا سيما في المؤسسات الكبيرة والمتنوعة حيث 
لا يجب أن تتم الأنشطة الرقابية على مستوى وحدة محلية فحسب» ومن ثم دفع الهرم 
التنظيمي إلى مستوى إدارة مركزية معينة. وبدلاً من ذلك يجب أن تتم أنشطة الرقابة 
ذات الصلة بالمخاطر في إطار وحدات تشغيل منفصلة» في ظل اتصالات وحلول المخاطر 
التي تقع عبر قنوات المؤسسة. 

٠‏ معالجة ا معلومات: سواء كانت عمليات نظم تقنية معلومات أم أشكالاً أكثر بساطة 
كورقة أو رسائل» فإن إجراءات معالجة المعلومات تمثل عنصراً أساسياً في الأنشطة الرقابية 
المتعلقة بالمخاطر الخاصة بالمؤسسة. إن إجراءات الرقابة المناسبة هناء مع التركيز على 
عمليات تقنية المعلومات للمؤسسة ومخاطرهاء تم الحديث عنها بمزيد من التفصيل في 
الفصل الرابع عشر من هذا الكتاب حول تطبيق النظم المتكاملة. 

٠‏ الضوابط المادية: يوجد العديد من الأحداث المتعلقة بالمخاطر تشتمل على أصول مادية 
كاممعدات والمخزون والأوراق الماليةء ومرافق مادية كمصنع. وسواء كانت هذه الإجراءات 
المادية تتعلق بالجرد أم بعمليات التفتيش أو أمن أحد المصانع» فإنه يجب على المؤسسة 
أن تضع إجراءات ملائمة للأنشطة الرقابية المادية القائمة على المخاطر. 

٠‏ مؤشرات الأداء: توظف المؤسسة الحديثة النموذجية اليوم مجموعة واسعة من أدوات 
إعداد التقارير المالية والتشغيلية. ويمكن استخدام العديد من هذه الأدوات كما هي 
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أو بعد التعديل عليها لدعم إعداد تقارير الأداء المرتبطة بأحداث المخاطر. وفي كثير من 
الحالات» هكن تعديل أدوات الأداء الكلي للمؤسسة لدعم هذا المكون المهم للنشاط 
الرقابي. 

٠‏ الفصل بين المهام: هذا هو النشاط الرقابي التقليدي» سواء كان للضوابط الداخلية 
لإجراءات العمل أو إدارة المخاطر. فالشخص الذي يبدأ إجراءات معينة لا ينبغي أن يكون 
هو الشخص نفسه الذي يجيز أو يوافق على تلك الإجراءات. هذا النشاط الرقابي الرئيسي 
مهم» سواء كان ذلك في وحدة أعمال صغيرة يُطلب فيها من مشرف الموظف أن يفحص 
ويوافق على إجراءات الموظف أم من خلال الرئيس التنفيذي الذي يجب أن يحصل على 
الموافقة الرقابية من مجلس الإدارة. 

إن هذه الأنشطة الرقابية الخاصة بإطار (۸[ ٤۸‏ 0050) هكن توسيعها لتشمل مجالات 
أخرى رة ويكون بعضها مخضا للوحدات اللسعفلة ذاعل الوم إلا أن كل فاط 
من هذه الأنشطة» سواء كان بشكل فردي آم جماعي» ينبغي أن يكون من العناصر المهمة 

في دعم إطار إدارة المخاطر المؤسسية للمؤسسة. 


مكونات إطار (781831 005©0): المعلومات والاتصالات: 

على الرغم من وصف المكون الخاص با معلومات والاتصالات على أنه بند منفصل في 
الشكل التوضيحي (۱-۸) من إطار (8۸۷ 0050): فإنه يصف مجموعة من الأدوات 
والعمليات التي تربط بين المكونات الأخرى لإطار (1:831 ©005). إن مكون المعلومات 
والاتصال هذا يربط جميع المكونات الأخرى بعضها مع بعض. ويبين الشكل التوضيحي 
(۸-۸) تدفقات المعلومات والاتصالات عبر مكونات (7812/1 0050) الأخرى. فعلى سبيل 
المثال يتلقى مكون استجابة المخاطر مدخلات المخاطر المتبقية والمتأصلة من مكون تقييم 
المخاطر وكذلك دعم درجة تحمل المخاطر من مكون وضع الأهداف. ثم يقوم مكون 
استجابة المخاطر الخاص بإدارة المخاطر المؤسسية (818031) بتقديم استجابة ا مخاطر 
وبيانات محفظة المخاطر إلى أنشطة الرقابة» وكذلك التغذية الراجعة لاستجابة ا مخاطر إلى 
مكون تقييم المخاطر. وبالنظر إلى مكون المتابعة كونه قائماً مفردة, نجد أنه لا يوجد به 
اتصال معلومات مباشرء لكن به مسئولية شاملة عن مراجعة كل هذه الوظائف. 
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شكل توضيحي (۸-۸) 
تدفق المعلومات والاتصال عبر مكونات ERM‏ 
البيئة الداخلية 


٠‏ فلسفة إدارة المخاطر 
٠‏ رغبة المؤسسة في المخاطر 







٠‏ وضع الاهداف 
٠‏ وحدات القياس 


٠‏ منظور محفظة المخاطر 


٠‏ المؤشرات 


٠‏ التقارير 


متابعة المخاطر 





وبيئما يكون من السهل نسبياً رسم مثل هذا المخطط البسيط للتدفق لبيان الكيفية 
التي ينبغي أن تُرسل بها المعلومات من أحد مكونات إطار (78831 0050) إلى الآخر؛ 
فإن تلك العملية تكون في كثير من الأحيان أكثر تعقيداً في ربط مختلف مسارات النظم 
والمعلومات معاً. فلدى العديد من المؤسسات شبكة ويب معقدة من نظم معلومات لا 
تقوم دائماً على نظم معلومات مرتبطة بشكل جيد لخدمة عملياتها التشغيلية والمالية 
الاسام ية وتضبح هسذة الزوابط أكار فة عني مخاولة ربط عملينات أإذارة اللخاطر 
المؤسسية المختلفة نظراً لأن العديد من التطبيقات الأساسية للمؤسسات لا تتلائم بشكل 
مباشر مع عمليات تحديد المخاطر وتقييم المخاطر واستجابة المخاطر. 
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قضايا حوكمة تقنية المعلومات 


ستكون تلك المبادرة الخاصة بإدارة المخاطر المؤسسية قليلة القيمة ما م يتم إيصال 
رسالة حول أهمية هذه المبادرة الخاصة بإدارة المخاطر المؤسسية (8831) إلى جميع 
أصحاب المصلحة في المؤسسة. ففي كثير من الأحيان ينبغي أن يكون ذلك في شكل رسالة 
موجهة من الرئيش التنفيذي (080). والفكرة من وراء ذلك هي إيصال رسالة توضح 
أهمية إدارة المخاطر المؤسسية في جميع أنحاء المؤسسة. وهذه النوعية من الرسائل تكون 
ذات قيمة عاليةء وخاصة عندما ترغب المؤسسة في إيصال رسالةء على سبيل ال مثال» مفادها 
أنه على جميع أصحاب المصلحة أن يكونوا حذرين جداً بشأن تبني بعض المشاريع التي 
قد ا ٤‏ مخاطر. وتكون العملية أكثر صعوبة إذا كانت المؤسسة تريد أن تفيد بأنه 
يجب أن نترك بعض العوامل خارج نطاق سيطرتنا قليلاً ويجب علينا تقبل بعض المخاطر 
أحياناً. إن الرسالة التي يتم تفسيرها بشكل غير صحيح هكن أن تفتح الباب على مصراعيه 
بشكل فعال وبشكل غير ملائم للقرارات والمشاريع المحفوفة با مخاطر. 
مكونات إطار ٤۸ M(‏ 005©0): المتابعة 

تم وضع هذا المكون في قاعدة مجموعة المكونات الأفقية للإطار. فالمتابعة في إطار 
ERM)‏ 0050) ضرورية لتحديد ما إذا كانت جميع عناصر إدارة المخاطر المؤسسية 
المثبتة لا تزال تعمل على نحو فعال أم لا. ويقوم أفراد المؤسسة بتغيير عمليات الدعم 
وتنفيذها وكذلك الشروط الداخلية والخارجية المحيطة. ولبناء مستوى معين من الثقة لدى 
جميع الأعضاء في المؤسسة في أن إدارة المخاطر المؤسسية لديهم تعمل بشكل فعال ودائم 
لابد من وضع عنصر المتابعة الخاص بإدارة المخاطر المؤسسية وتفعيله. 

إن عمليات المتابعة الجارية يمكن أن تكون وسيلة فعالة للإشارة إلى الاستثناءات أو 
الانتهاكات التي تحدث في عملية إدارة المخاطر المؤسسية بشكل عام. ولوضع إطار فعال 
لإدارة المخاطرء لابد من توسيع نطاق هذه المتابعة لتشمل المراجعات الجارية حالياً 
لجميع العمليات الخاصة بإدارة المخاطر المؤسسية التي تمتد رمن عملية تحديد أهداف 
الأنقطة الرقانية الخاضة بإذارة ا هعاط ر اللؤسئسة الغارية خالا إل أن تضل إل سين عمل 
تلك الأنشطة والتقدم الحاصل بها. وقد تشمل المتابعة الخاصة بإطار (15:1831 ©6050©) 
الأنشطة التالية: 
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٠‏ تطبيق آلية إدارية قوية ومستمرة لرفع تقارير عن الأوضاع النقدية ومبيعات الوحدة 
وغيرها مق لاناك اة وا اة :ولا حت عل وة اللنظامة طا 
عد أن تنتظر حتى نهاية الشهر المالي أو ما هو أبعد من ذلك لإعداد مثل هذه النوعيات 
من تقارير الحالة التشغيلية والمالية. وينبغي توسيع نطاق أدوات إعداد التقارير لتشمل 
مقائيين رقيسية الإذارة حاط اللؤسبحية: متضمعا ذلك يعض أشكال'التقازير الخاطفة 
التي تجري على جميع المستويات المناسبة للمؤسسة. 

٠‏ يجب وضع عمليات خاصة برف تقارير دورية للتابعة الجوانب الرئيسية لمعايير المخاطر 
اللعصول س ارا كمجزلاف 5 المقبولة أن العماضر اللزكفية فيزلا من 
مجرد الإبلاغ عن إحصائيات دورية» ينبغي لمثل هذه التقارير أن تؤكد التنبيهات المتعلقة 
بالمخاطر مثل الاتجاهات والمقارنات الإحصائية مع الفترات السابقة. 

٠‏ الإبلاغ عن الوضع الحالي والدوري للنتائج المتعلقة با مخاطر والتوصيات الواردة في تقارير 
التدقيق الداخلي والخارجي. 

٠‏ تحديث المعلومات المتعلقة با مخاطر باستخدام مصادر كالقوانين الحكومية المنقحة 
واتجاهات الصناعة والأخبار الاقتصادية العامة. ونؤكد مرة أخرى أنه ينبغي أن يكون 
هذا النوع من التقارير الاقتصادية والتشغيلية متاحاً للمديرين على جميع المستويات. 

وتشير متابعة التقييم المستقل أو الفردي إلى المراجعات التفصيلية لعمليات المخاطر 
الفردية التي يقوم بها مراجحٌ مؤهلٌ. مثل إدارة التدقيق الداخلي. وقد تقتصر المراجعة هنا 
على مجالات محددة أو تشمل عملية إدارة ا مخاطر المؤسسية الكاملة لوحدة تنظيمية. وفي 
هذا النوع الأخير من المراجعة يمكن الاستعانة بخبراء استشاريين خارجيين مؤهلين لتقييم 
فاعلية إدارة ا مخاطر المؤسسية في المؤسسة بأكملها. ومن ناحية أخرىء فبالنسبة للعديد 
من المؤسسات» قد تكون مؤسسة التدقيق الداخلي القوية هي المصدر الداخلي الأفضل 
للقيام بتنفيذ مراجعات إدارة المخاطر المؤسسية. وسواء تم ذلك من خلال مدققين داخليين 
أم مستشارين خارجيين أو كادر من الموظفين المدربين في المؤسسة» فإن أي مراجعة محددة 
من المراجعات الفردية الخاصة بعمليات إدارة المخاطر المؤسسية قد تستخدم الأدوات 

التالية: 
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٠‏ رسم خرائط سير العمليات: كجزء من أي عملية محددة لإدارة ا مخاطر المؤسسية» يتعين 
على الأطراف المسئولة تطوير مخططات توثق عمليات إدارة المخاطر المؤسسية الخاصة 
بهم. ويتطلب هذا النظر في الوثائق التي أعدة لهذه العملية لتحديد ما إذا كانت وثائق 
العملية ميصيدة نظراللظروف الحالنة ول الات ا اة عان ميخططات العملنات: 

٠‏ مراجعات المخاطر والمواد الرقابية: إن عملية إدارة المخاطر المؤسسية ينتج غالباً عنها 
كمية كبيرة من المواد الإرشادية والإجراءات امموثقة وصيغ لتقارير جديدة وما شابه ذلك. 
وكذلك تكون هناك قيمة حقيقية بالنسبة للفريق المخصص للقيام بمهام إدارة المخاطر 
المؤسسية أو لفريق التدقيق الداخلي أو لفريق ضمان الجودة الخاص بام مؤسسة عند قيام 
أي منهم بمراجعة المواد المتعلقة با مخاطر والمتابعة من ناحية فاعليتها. 

٠‏ المقارنة المعيارية: ويقصد بها هنا عملية النظر في الإدارات الأخرى المعنية بإدارة ا مخاطر 
المؤسسية لتقييم عملياتهم التشغيلية وتطوير نهج قائم على أفضل ممارسات الآخرين. 
إن مهمة جمع هذه المعلومات للمقارنة بها تكون غالباً مهمة صعبة عندما تمتنع في كثير 
من الأحيان المؤسسات المتنافسة عن تبادل البيانات التنافسية. وتعمل هذه العملية 
بشكل مثالي عندما يكون هناك اتصالات وعلاقات مهنية محسنة ومباشرة من نوع واحد 
لواحد» ومعلومات عن الطريقة التي استخدمها البعض لحل بعض المشاكل المماثلة التي 
تكون غالباً قيمة ومفيدة للغاية. 

٠‏ الاستبيانات: طريقة جيدة لجمع المعلومات من مجموعة واسعة من الناس» ويمكن إرسال 
الاستبيانات إلى أصحاب المصلحة ا معنيين مع طلبات الحصول على معلومات محددة. يعد 
هذا أسلوب قيم للمتابعة عندما يكون المستهدفون من الاستطلاع منتشرين في أماكن 
جغرافية مختلفةء مثل مسح متابعة المخاطر للعاملين في مؤسسة تجزئة على الصعيد الوطني. 

٠‏ جلسات ميسرة: هكن جمع معلومات قيمة غالباً من خلال سؤال أشخاص يتم اختيارهم 
للمشاركة في جلسة مجموعة التركيز يرأسها قائد مؤتمر ذو مهارة. وهذا هو النهج المتبع من 
قبل العديد من المؤسسات لجمع معلومات بحوث السوق من خلال ما يسمى بمجموعات 
التركيز. ويمكن لهذا النهج العام نفسه أن يستخدم لجمع فريق من الناس - في كثير من 
الأحيان من المناصب المختلفة في المؤسسة - لمراجعة وضع المخاطر المؤسسية لمجال معين. 
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رضن مق عملية اة هذه هدو ققيم مدي الْجَوْدَة التي يعمل يها إطاز إذازة 
لاط ر التؤسسيةافي المؤسسقء ولايد من إبلاع الكديرين ولق ى إذازة غار 
المؤسسية في منطقة محددة يتم حالياً متابعتها وفي المكتب الخاص بإدارة ا مخاطر المؤسسية 
بأوجه القصور الموجودة. إن المفهوم الكامن وراء متابعة إطار (1:81 0050) ليس 
للعثور على أخطاء أو نواقص فحسب. ولكن لتحديد المجالات التي هكن تحسينها في إطار 
إدارة المخاطر المؤسسية. 4 


أبعاد أخرى في إطار (78131 0050): 

كما أوضحنا في بداية هذا الفصل وطبقاً لما تم وصفه في الشكل التوضيحي )١-۸(‏ فإن 
إطار (8801 0050) يكون عبارة عن إطار ثلاث الأبعاد بفتاته الثمانية باعتبارها بعداً 
واحداً في الأقسام التي تمت مناقشتها حالاً. والبعدان الآخران عبارة عن فئات الأهداف 
الأربعة له ممثلة بأعمدتها العمودية. وكيانها هو وحداتها الموضحة في البعد الثالث. وعلى 
الرغم من أن فئات إدارة ا مخاطر المؤسسية الثمانية التي تم وصفها حالاً مهمة جداً لفهم 
إطار (8834 0050) واستخدامه» فإن هذين البعدين الآخرين للإستراتيجيات والوحدات 
التنظيمية هامان أيضاً. ولفهم ا مخاطر ا محيطة بالأهدأف التنظيميةء يجب على المرء تقييم 
تلك المخاطر من حيث ربما مخاوف الإبلاغ المرتبطة بهذه المخاطر والوحدة التنظيمية 
المعنية التي تصبح التركيز الرئيسي للمخاطر. 

إن إطار (18:831 0050) يلزم استيعابه من خلال كل الأبعاد الثلاثة الخاصة بإطار إدارة 
المخاطر المؤسسية: كما أن العملية الفعالة لإدارة المخاطرء مهما كانت مصممة بشكل جيد 
ويتم تشغيلها بصورة جيدة. فهي توفر فقط الضمان المعقول - لكنه ليس المرغوب - الذي 
تحقق به المؤسسة أهدافها المتعلقة بالمخاطر في إطار الفلسفة الإدارية والرغبة في ا مخاطرة 
التي تم وضعها. ومع ذلكء فلا يهم إن كانت إدارة المخاطر ا مؤسسية قد تم تصميمها 
وإدارتها بشكل جيدء إذ هكن أن توجد إخفاقات ناتجة عن أخطاء بشرية أو أحداث مخاطر 
ناجمة عن أي من أحداث كثيرة غير متوقعة. 
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"الكتاب الأحمر" لنموذج الحوكمة وإدارة المخاطر والامتثال التابع للمجموعة المفتوحة 
للامتثال والأخلاقيات (180© ۳٤6‏ 0) وإدارة المخاطرء وحوكمة تقنية المعلومات: 

تعد المجموعة المفتوحة للامتثال والأخلاقيات (©:001) منظمة غير ربحية يقودها 
قطاع الصناعة» وهي تعمل على تطوير المعايبر وتساعد المؤسسات على تحسين عمليات 
الحوكمة وإدارة المخاطر والامتثال الخاصة بها. وبدعم كبير من الصناعة التقنيةء قامت 
مجموعة (00106) بوضع نموذج قدرة (610) ونشره» ويسمى ب"الكتاب الأحمر" الصادر 
عن مجموعة (08006) مع معايير حوكمة تقنية المعلومات التي أصبحت معترفاً بها بشكل 
متزايد في العديد من المؤسسات في جميع أنحاء العام. 

ومع التركيز على حوكمة تقنية المعلومات. يستعرض هذا القسم المواد الإرشادية لنموذج 
القدرة (610) الصادر عن مجموعة (©:00158) (الكتاب الأحمر). وبينما يكون العديد من هذه 
المواد الإرشادية مشابهة جداً لغيرها من المعلومات الإرشادية لنموذج (©618) وإطار إدارة المخاطر 
المؤسسية الموجودة هنا وف الفصول الأخرى فإننا نستشعر بأن مجموعة (001:6) سوف يكون 
لها تأثير كبير في حوكمة تقنية المعلومات وعمليات نموذج (680) في السنوات المقبلة. 

إن استخدام مجموعة (©0018) لكلمة "مفتوحة" في اسمها له معنىّ ما يخص تقنية 
المعلومات. فالنظام المفتوح يتبادل بانتظام التغذية الراجعة مع بيئته الخارجية ليقوم 
على نحو مستمر بتحليل تلك التغذية الراجعة» وضبط الأنظمة الداخلية حسب الحاجة 
لتحقيق أهداف النظام» ومن ثم ينقل المعلومات الضرورية مرة أخرى إلى تلك البيئة. أما 
النظم ا مغلقةء على عكس النظم المفتوحةء يكون لديها حدود ثابتة يتم من خلالها تبادل 
القليل من المعلومات. فالمنظمات التي لديها حدود مغلقة تصبح غالباً راكدة وغير صحية. 
ومن الأمثلة على الأنظمة المغلقة: البيروقراطية» والاحتكارات» وأنظمة الركود. إن مصطلح 
"مفتوح" الشائع الاستخدام اليوم في العديد من النظم التقنية الحديثة والمتطورة يعتبر 
مظعا مناسبا لنموذج القدرة (620). 


توجد إرشادات نموذج (610) الصادر عن مجموعة (00806) المفتوحة في وثيقة 
تسمى الكتاب الأحمر لنموذج القدرة. وتوجد الوثيقة الأساسية على موقع .WWW.0°€8.018‏ 
ويعود تاريخها إلى شهر إبريل ٠ ٠5‏ في وقت نشرناء وهي متاحة من خلال شبكة الإنترنت» 
في حين توجد نسخة محسنة متاحة للأعضاء المشتركين. وتتضمن الطبعة الأساسية ع 
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كاملاً لنموذج (©68). لكن النسخة المحسنة ذات التكلفة الإضافية مع القوالب وغيرها من 
الوسائل المساعدة تكون أيضا متاحة. ويرتكز نموذج القدرة هذا حول مفهوم يسمى الأداء 
القائم على مبادئ Performa nce*‏ eاPrincip‏ وهو تهج نموذج (010) المتكامل الذي 
سوف نناقشه في الأقسام التالية. 

كما يوجد لدى نموذج القدرة (610) الصادر عن مجموعة (0078©6) العديد من 
المفاهيم المشابهة تماما لإطار (78731 0050) وغيرها من مفاهيم نموذج )۸٥(‏ الأخرى 
التي نوقشت في الفصول الأخرىء وتشمل الأهداف التالية: 

٠‏ تحسين الأهداف العامة لقطاع الأعمال. 

٠‏ تحسين ثقافة المنظمة. 

٠‏ زيادة ثقة أصحاب المصلحة. 

« إعداد المؤسسة وحمايتها. 

٠‏ منع المشاكل والكشف عنها والحد منها. 

٠‏ الحث على السلوكيات المرغوب فيها وتحفيزها. 

٠‏ تحسين المسئولية والكفاءة. 

٠‏ تحسين القيمة الاقتصادية والاجتماعية. 
مفهوم الأداء القائم على مبادئ* الخاص بمجموعة (0©016) المفتوحة: 

حصلت مجموعة (008©6) المفتوحة على علامة تجارية لهذا المصطلح وتستخدم هذا 
المفهوم لوصف الحاجة إلى صياغة الأهداف المالية وغير المالية للمؤسسة لتحقيق جميع الأهداف 
التي ترغب المؤسسة فى تحقيقها أثناء استخدامها لأسلوب فعال وكفء وقادر على الاستجابة 
لدعم الحوكمة وإدارة المخاطر والامتثال. إن المفهوم الأساسي هنا هو أن جميع المؤسسات يجب 
أن تعمل ضمن حدود خارجية وداخلية محددةء فالقوى الخارجية: مثل المتطلبات القانونية 
والتنظيمية» تضع الحدود الخارجية الإلزامية. ويكون الهدف هو الدمج بين مبادئ وأهداف 
نموذج (880) لمساعدة المؤسسة في أن تعمل على تحسين الأداء بشكل أكثر فاعلية. 


Ve‏ دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


قضايا حوكمة تقنية المعلومات 


ومن أجل أن تحقق المؤسسة مفهوم الأداء القائم على مبادئ. يجب عليها أن تحدد 
بوضوح رسالتها ورؤيتها وقيمها وتحديد الأهداف التي تسعى إلى تحقيقها. ويجب أن 
تحدد كيف ستحقق هذه الأهداف في الوقت الذي تقوم به أيضا بمعالجة المخاطر والأمور 
الضبابية التي تحتمل الشك وحماية ووضع قيمة مضافة وتحديد فرص جديدة ومحاولة 
البقاء ضمن حدود معينة للسلوك الأخلاقي. ويجب على المؤسسة أن تعمل على جعل 
هذه الخيارات شفافة لأصحاب المصلحة الداخليين والخارجيين وأن تحاول تحقيق كل هذا 
باستخدام نهج متكامل لتحقيق أعلى مستوى ممكن من الأداء. 

شكل توضيحي )٩-۸(‏ 


نموذج القدرة (6120) الصادر عن مجموعة (©001) المفتوحة 
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77 Respond & Resolve 
سحت ا خر‎ 





1. Inform & Integrate 
يخبر ويدمج‎ 








0001603 Discern 


C. Culture & Content 
الثقافة والمحتوى‎ 


دليل المسئول التنفيذي لحوكمة تقنية ا معلومات vo‏ 


الفصل الثامن 


ومن أجل تحقيق الأداء القائم على مبادئ لمجموعة (001806) المفتوحة: يجب على كل 
كيان أو وحدة في مؤسسة أن تحدد ما هو "الصواب" بالنسبة لها وبعد ذلك تفعل هذه الأشياء 
الصحيحة بالطريقة الصحيحة. لقد قمنا باقتباس هذا المفهوم من مواد مجموعة (0©1:06) 
المفتوحة» وهو هدف رفيع المستوى يتجاوز المفاهيم التقليدية لتعزيز قيمة أصحاب المصلحة 
لتشمل النتائج المرجوة التي تلبي مصالح أصحاب المصلحة لدى المؤسسة واهتماماتهم. 

وتعد مفاهيم الأداء القائم على تلك المبادئ من العناصر الرئيسية لنموذج القدرة 
(©68) الصادر عن مجموعة (001806) المفتوحة كما هو موضح في الشكل التوضيحي 
(9-8). وتصف الأقسام التالية باختصار عناصر هذا النموذج بمزيد من التفصيل» وخاصة 
عندما يكون لديها أهداف وغايات مختلفة عما كانت عليه في الإطار التقليدي لإطار 
ER۷)‏ 0050) الذي تم وصفه سابقا في هذا الفصل. ويحدد هذا النموذج مجموعة من 
المواد والمفاهيم على مستوى عال للغاية. وهي تعد جزءاً من نموذج مجموعة )0٥٤6(‏ 
المفتوحة. وتشجيعا للقارئ المهتم بهذا الأمر يمكنه الوصول إلى نموذج كامل من خلال 
عنوان الويب الذي أشرنا إليه سابقا. 

إن كل مدخل من مدخلات النموذج الصادر عن مجموعة 9686 ا مفتوحة يكون 
مذعوما من العناصر الرئيسية أو الفرعية الخاصة بنموذج «((GRC)‏ فمثلاً حرف € را 
إلى مكون الثقافة والمحتوى يكون مدعوماً في وثائق مجموعة )0۳٤6(‏ المفتوحة من خلال 
أربعة عناصر هي: 

(External Business Context) سياق الأعمال الخارجية‎ 1 

(Internal Business Context) سياق الأعمال الداخلية‎ 2 

(Culture) الثقافة‎ C3 

(Values and Objectives) القيم والأهداف‎ C4 

وبعد ذلك يتم تقليل رتبة كل عنصر من عناصر نموذج القدرة (61100) إلى عناصر فرعية 
لكل منها. فعلى سبيل ال مثال» بالنسبة للعنصر 03 الذي يشير إلى الثقافةء يحتوي النموذج 
على العناصر الفرعية التالية: 


1 دليل امستول التنفيذي لحوكمة تقنية ا معلومات 


قضايا حوكمة تقنية المعلومات 


(Analyze Ethical Culture) تحليل الثقافة الأخلاقية‎ 1 

(Analyze Ethical Leadership) تحليل القيادة الأخلاقية‎ 2 

(Analyze Risk Culture) تحليل ثقافة المخاطر‎ 3 

4 تحليل إشراك مجلس الإدارة (Analyze Board Involvement)‏ 

Analyze Governance Culture and) تحليل ثقافة الحوكمة وأسلوب الإدارة‎ 5 
(Management Style 

6 تحليل مشاركة القوى العاملة (Analyze Workforce Engagement)‏ 

وكل عنصر من تلك العناصر يكون مدعوماً أيضاً بعناصر تفصيلية أكثر لزيادة حجم 
القائمة. وبالإضافة إلى ذلك. فإن النموذج يحتوي على مجموعة من المبادئ وقائمة بمصادر 
الفشل الشائعة لكل مبدأ من هذه المبادئ» فضلا عن توجيهات ومراجع لمواد دعم إضافية. 

ويمكن إيجاد أهداف تفصيلية مماثلة لكل من العناصر والعناصر الفرعية للشكل 
التوضيحي .)٠١-۸(‏ وبالإضافة إلى ذلك فإن هذا النموذج يحتوي على توثيق الممارسات 
الفرعية لكل عنصر من العناصر الفرعية. فمثلاء عنصر (0): وهو عنص التنظيم والإشراف» 
موجود في المركز العلوي يحتوي على عنصر يسمى 02. ويشير إلى الأدوار والمسئوليات» 
مع عنصر فرعي 02.4» ويشير إلى تحديد القواعد التشغيلية لنظام (6110) وتمكينها من 
العمل. وتوجد توصيفات العناصر والعناصر الفرعية تلك في جميع أنحاء النموذج. فعلى 
سبيل المثال» يبين الشكل التوضيحي )٠١-۸(‏ أنشطة 02.4.01. 

شكل توضيحي (۱۰-۸) 

مثال على الممارسات الفرعية لنموذج 02.4 :61:0 تحديد وتمكين القواعد التشغيلية لنظام ©61. 

1 تحديد الأدوار وا لمستوليات لأنشطة نموذج )K۸٣(‏ الأساسية التالية: 

« ال منهجية والسياسة والإجراءات والمعايير والمفردات والصيانة 


« تحديد المخاطر والمتطلبات والتحليل والتحسين 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات لك 


الفصل الثامن 


« تنفيذ المبادرة / إدارة محفظة المشروعات 
٠‏ علاقات أصحاب المصلحة 

٠‏ خط المساعدة أو الخط الساخن 

٠‏ الاستقصاء والحلول 

٠‏ قياس الأداء 

٠‏ الاتصالات متضمنة العلاقات العامة 

٠‏ إدارة المعلومات 

« التقنية 


إن هدفنا هنا ليس وصف كل عنصر وعنصر فرعي من هذه العناصر والأنشطة الخاصة 
بمجموعة (00806) المفتوحة بالتفصيل» لكن هدفنا هو وصف الفاهيم العامة وراء 
نموذج مجموعة (0018©6) المفتوحة. ويمكن للقارئ أن يصل إلى نموذج شامل من خلال 
موقع ويب 771071,028.018. 

بهذا الملخص أو التوضيح للنقاط الفرعية والنقاط المتفرعة منهاء يوجد لدينا تفاصيل 
كافية هنا لمساعدة المؤسسة على إنشاء وتنظيم إدارة للحوكمة وإدارة المخاطر والامتثال 
(©68). كما توجد مجموعات جيدة من المبادئ والمصادر المشتركة للإرشادات للمساعدة 
في تكوين عملية فعالة خاصة بنموذج (6180) داخل المؤسسة. وقد لخص هذا القتسم 
والأقسام السابقة عناصر نموذج القدرة (©126© ©0018) على مستوى عال للغايةء بعضها 
مشابة اما لعمليات نماذج (610) و)ERM‏ 0050) التي تمت مناقشتها في فصول 
أخرى. في حين يدعو البعض الآخر لاتباع نهج أكثر تفصيلاً وفي بعض الأحيان إلى نهج موجه 
بدرجة أكبر نحو نظم رقابة إدارية. لكننا مع ذلك نحتفظ بوصف عالي المستوى لا ينصف 
الدراسة الكاملة التي يمكن العثور عليها في منشور مكون من ١6١‏ صفحة في شكله الأساسي 
وبقدر أكبر من التفصيل في وثيقة مطولة. مما يشجع القارئ امهتم إلى القيام مزيد من 
البحث في نموذج (©68© ©0018). 


۸ دليل المستول التنفيذي لحوكمة تقنية ا معلومات 


قضايا حوكمة تقنية المعلومات 


مستوى هيئة وضع معايير مجموعة (©00058) المفتوحة ونطاقها: 

ليس لدى مجموعة (001:6) المفتوحة في الوقت الحاضر هيئة لوضع المعايير الخاصة 
بحوكمة تقنية المعلومات كما هو موجود مع هيئات (2048017) أو (180). وبالإضافة إلى 
ذلك» وعلى الرغم من أنها أصدرت بعض المواد الإرشادية القوية» فإن تلك المعلومات ما تزال 
مفتقرة إلى مستوى اعتراف كالموجود من خلال ال معايير المهنية مثل تلك الصادرة عن معهد 
المدققين الداخليين (114) أو (15404]). ومع ذلك فإننا نرى أن أهمية مجموعة (0©017:©6©) 
المفتوحة وموادها الإرشادية سيزداد في السنوات القادمة وسوف تنمو الاهتمامات والحاجة 
لعمليات فعالة لنموذج (610). 

وتكمن إحدى نقاط القوة الرئيسية لمجموعة (001:06) المفتوحة في أنها منظمة 

تطوعية تماماً يقوم على إدارتها موظفون جاؤوا على سبيل الإعارة من المنظمات الراعية 
وقد شكلوا مجلس قيادة لمجموعة (00156) المفتوحة. يشمل الرعاة هنا الشركات 
المحاسبية العامة الكبرى مثل برايس ووترهاوس كوبرز (2170) وجرانت ثورنتون (2024:© 
6 ببالإضافة إلى أن هناك العديد من الرعاة من الجهات الرائدة في صناعة تقنية 
المعلومات الكبرى مثل أوراكل (©0131) وساب (582)» ويأتي في المقام الأول رعاة الصناعة 
في الولايات المتحدة مثل شركة التأمين الكبرى عون (402) ومتاجر التجزئة وول مارت 
.)Wa110(‏ وإذا كان مة قلق هناء فإنه قد يعزى إلى أن مجموعة (©0017) المفتوحة 
هي منظمة أمريكية من الأساس وليست منظمة دولية في الحقيقة: لأنها معتمدة على 
أعضاء المنظمات وأعضاء اللجان الراعية لها. وف عالمنا المعاصر, إننا بحاجة إلى المزيد من 
الاهتمام الدولي. 


وقد يرغب أحد كبار المديرين المهتمين في استخدام مواد مجموعة (©0078) ا مفتوحة 
هذه على أنها أحد المصادر المرجعية الإضافية إذ إنها مجموعة واسعة من المواد التي يمكننا 
فقط توقع زيادة أهميتها في السنوات المقبلة. 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات ۷۹ 


الفصل الثامن 
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دليل المستول التنفيذي لحوكمة تقنية ا معلومات 


الجزء الثالث 
أدوات وتقنيات إدارة البنية التحتية لحوكمة تقنية المعلومات 


YAY 


الفصل التاسع 
حوسبة سحابية وافتراضية وحوسبة محمولة متنقلة 


عام نظم تقنية المعلومات مليء دائماً بالمفاهيم والتقنيات الجديدة المتطورة باستمرار. 
فبعضها يعد من المفاهيم والتحولات الخاصة بتقنية المعلومات والتي سرعان ما أصبحت 
ممارسات شائعة ومقبولة. ويمكن اعتبار لغة برمجة الإنترنت الجافا أحد الأمثلة على تلك 
التقنية الحديثة. فقد أصبحت التطبيقات التي تستخدم الجافا بمثابة الوسيلة التي تسمح 
بالاتصال بين مواقع الإنترنت المركزية والأنظمة الفردية» كما أصبحت الجافا معياراً لتطوير 
الإنترتت (شبكة اللعلومات الا من تاغية أخرق»فإنة:قضلاً عن أن :حتاك اليك :مق 
التقنيات الحديثة التي لاقت في بداياتها المزيد من الاستحسان والدعم والدعاية والترويج 
في العديد من المطبوعات المتنوعة الخاصة بتقنية المعلومات؛ فإنها لم تحتل مكانة عالية 
في السوق وسرعان ما تم نسيانها. وي النهايةء فإن هذه التقنيات "مم تكن تلك الصفقة 
الكبيرة". وذلك عندما تم تجاهلها وإهمالها من قبل مستخدمي تقنية المعلومات والسوق 
التقني أو أن المنافسين قد جاؤوا بعروض أفضل. 

لقد كان لدينا بعض التقنيات الحديثة منذ مدة طويلةء وفي الواقع تعد هذه التقنيات 
حديثة فقط عندما تُقارن بالنظم والعمليات التقليدية لتقنية المعلومات. وقد أسهمت 
هذه التقنيات في تغيير الطريقة التي نفكر بها في بناء وإدارة نظم تقنية المعلومات 
والعمليات الداعمة لها. وسوف يقوم هذا الفصل بتسليط الضوء على ثلاث من هذه 
التقنيات الحديثة التي أصبحت شائعة بشكل متزايد في عمليات تشغيل تقنية المعلومات 
في الوقت الراهنء فيما ستطرح أيضاً كل تقنية من هذه التقنيات بعض القضايا الخاصة 
بحوكمة تقنية المعلومات. 

في البداية سنتحدث عما أصبح يعرف بالحوسبة السحابية «Cloud Computing‏ 
وهو المفهوم المرتبط باستخدامنا للإنترنت وشبكة الويب العالمية منذ أواخر التسعينيات 
من القرن الماضي. يستخدم المهنيون هذه الأيام إحدى أدوات البحث عبر الإنترنت كجوجل 
مثلاً للبحث عن إجابات لأسئلة أو لجمع المزيد من المعلومات عن موضوع ما. وبينما ينتج 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات YAY‏ 


الفصل التاسع 


وبشكل فوري عن أحد طلبات البحث التقليدية مدى واسع من "ضربات" أو نتائج البحث 
لهذا الطلبء فإننا في الواقع لا نفكر كثيراً بالطريقة التي من خلالها استطعنا الحصول على 
كل تلك النتائج الهائلة وبتلك السرعة الهائلة. فجميع هذه النتائج تأت من شبكة الإنترنت» 
سواء كانت من بلادنا أو من العام الخارجي. وا لأننا لا نستطيع الإشارة إلى نظام أو 
مصدر محدد على أنه هو المزود للمعلومات الخاصة باستعلامنا عبر شبكة الإنترنت» فإننا 
نتصور أن تلك المصادر الخاصة بالإنترنت كما لو كانت عبارة عن شبكة اتصالات مترابطة 
وواسعة, تكون غالباً "سحابة" من المصادر. 

تتجاوز مصادر تقنية المعلومات» مجرد كونها محركات للبحث» والتي يتم عرضها بشكل 
متزايد من خلال سحابة الإنترنت تلك. وسواء كانت تلك السحابة عبارة عن مرفق خدمي 
محلي أو عالمي أو حتى كانت عبارة عن مركز لإحدى المؤسسات الكبيرةء فنحن نستخدم 
الحوسبة السحابية بشكل متزايد لبناء وإدارة نظم تقنية المعلومات الخاصة بنا. وسيناقش 
هذا الفصل بعض القضايا الخاصة بحوكمة تقنية المعلومات والتي تثار عندما نستخدم تلك 
السحابة لنظم وعمليات تقنية المعلومات. 

ستكون الافتراضية 71161131122610 وقضايا حوكمة تقنية المعلومات الخاصة بها هي 
التقنية الثانية التي سيتم مناقشتها في هذا الفصل. فعلى الرغم من أن لها أصولاً تعود إلى 
النماذج السابقة الخاصة بنظم الحاسبات المركزية التي تم إنتاجها من قبّل شركة آي بي إم 
1 منذ سنوات عديدة, فإن الافتراضية هي المفهوم الذي کان مجهولا بالنسبة ملعظم 
المهنيين العاملين فى مجال تقنية المعلومات حتى فترة زمنية ليست بالبعيدة. فهي تعود 
للوقت الذي انتقلنا فيه للمرة الأولى من نظام تقنية معلومات يعتمد على حاسب مركزي 
واحد إلى العديد من نظم الخادم المتصلة في تقنية ا معلومات والتي احتوت في البداية 
على عدد قليل من هذه النظم ثم زادت بعد ذلك. في البداية كانت عملية توصيل كل 
نظام خادم بمجموعة من وحدات التخزين وال مرفقات الأخرى تعتبر من العمليات السهلةء 
إلا أن النظم أصبحت أكثر تعقيداً مع نمو إعدادات نظم تقنية المعلومات. هذا بالإضافة 
إلى أن إدارة عمليات التشغيل الخاصة بتقنية المعلومات قد أدركت مبكراً أن إعداداتها 
الخاصة بالموارد المتصلة وام ملحقة بالخادم لم تكن متوازنة بشكل جيد. فعلى سبيل ال مثالء 
قد يكون للخادم (أ) إمكانيات كبيرة للذاكرة المؤقتة أو وحدات التخزين الملحقة ولكنه 
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رها لا يستخدم كل هذه الموارد على أنها جزء من عمليات التشغيل المجدولة أو الاعتيادية 
التي تتم على هذا الخادم (أ). في حين قد يكون هناك خادم آخر (ب) به قصور في الموارد 
ويحتاج إلى بعض الموارد الزائدة عن حاجة الخادم (أ) لتساعده خلال فترة أحمال الحوسبة 
المرتفعة. 

خلال الأيام الأولى للحوسبة الخاصة بنظم "عميل - خادم"» كان يتم ربط تلك الموارد 
بكل خادم على حدة إما من خلال تعليمات برمجية محددة أو حتى من خلال توصيلات 
كوابل مادية. ومن ثم فإن عمل تغييرات كنقل بعض الموارد غير المستخدمة من الخادم (أ) 
إلى الخادم (ب) ليساعده في إنجاز مهامه كانت تستهلك وقتاً طويلاً وفي بعض الأحيان كانت 
مهمة معقدة. وقد تم حل تلك المشكلة الخاصة باتصال الخوادم وارد تقنية ا لمعلومات 
وتحقيق ما يعرف بتوازن الأحمال بين الخوادم عن طريق بعض بائعي نظم إدارة التخزين 
ابتداءً من العام ٠٠٠١‏ تقريبا بواسطة ما يعرف الآن بالنظم الافتراضية. 

ففي البيئة الافتراضيةء لا تتصل موارد النظام ببعضها البعض بشكل حقيقي أو مادي 
ولكنها ترتبط بشكل منطقي بواسطة أدوات برمجية خاصة. وبناءً على الطلب على موارد 
النظم» فإنه يمكن للنظم المنفصلة أن تتصل بش كل افتراضي مع موارد أخرى» بشكل آل أو 
تلقاني بدلا من استخدام الكوابل المادية اليدوية أو الروابط البرمجية التي كانت تستخدم 
في السابق. حيث تستطيع البيئة الافتراضية تقديم قدرات كبيرة للإعدادات الضخمة لتقنية 
المعلومات. من ناحية أخرىء إذا كانت عمليات النظم الافتراضية غير مفهمومة أو مطبقة 
أو مدارة بالشكل المناسب» فإنها قد تثير بعض القضايا المتعلقة بحوكمة تقنية المعلومات. 
سيقدم هذا الفصل المفاهيم الخاصة بالبيئة الافتراضية لتقنية ا معلومات كما يناقش بعض 
القضايا الرئيسية للحوكمة ذات الصلة بهذا ال موضوع. 

وسيختتم هذا الفصل بالحديث عن قضايا حوكمة تقنية المعلومات المتعلقة بأجهزة 
الحوسبة المحمولة الشخصية الواسعة الانتشار والتي لا تستخدم فقط للاغراض الشخصية 
وإنما تستخدم أيضا على أنها مكونات لنظم تقنية المعلومات المؤسسية. تعتبر أجهزة 
الحواسيب اللوحية الصغيرة أو الهواتف الذكية بمثابة أدوات رائعة للاتصالات والوصول 
إلى الإنترنت والتقاط الصور الفوتوغرافية والعديد من المهام الأخرى. فعلى الرغم من 
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إطلاقها على أنها أجهزة شخصية» فإنها تسببت في نجاحات كبرى في أماكن العمل. وسَيْحْتَم 
هذا الفصل بمناقشة قضايا حوكمة تقنية المعلومات المتعلقة باستخدام أجهزة الحاسبات 
الشخصية في بيئة العمل. 


التعرف على الحوسبة السحابية: 

كان لدى مديري الأعمال القدامىء الذين نشؤوا في عصر الورق والقلم الرصاص» ولسنوات» 
اعتقاد بأن بعض أعضاء فرق نظم وتطوير تقنية المعلومات العاملين لديهم لهم "مديرون 
في السْحُب". في حين أن ما يعرف بالحوسبة السحابية يعد من المفاهيم الحديثة وا متطورة 
والمهمة بالنسبة للعديد من عمليات تشغيل تقنية المعلومات. وهو وثيق الصلة بالمفاهيم 
الخاصة بالبنية الموجهة نحو الخدمات 504 )Service-Oriented Architecture)‏ والتي 
نوقشت في الفصل الثالث عشر من هذا الكتاب» لقد أسهمت الحوسبة السحابية في تغيير 
الأسلوب المتبع من قبل العديد من المؤسسات في بناء واستخدام تطبيقات تقنية المعلومات. 

يُستخدم مصطلح السحابة غالباً هنا وفي العديد من المراجع المنشورة على أنه تعبير 
مجازي للدلالة على الإنترنت. إن الفكرة التي تكمن خلف سحابة الإنترنت تلك هي أن 
المستخدمين ليسوا بحاجة إلى (معرفة ب أو خبرة عنء أو سيطرة على) البنية التحتية للتقنية 
"في السُحُب" التي تدعم التطبيقات القائمة على الإنترنت. وقد تم استحداث هذا المصطلح 
في مجال صناعة الهواتف. حيث ظل قائماً حتى تسعينيات القرن الماضيء فالبيانات وحتى 
الدوائر البدائية لشبكة الإنترنت بين الأماكن قد تم ربطها من خلال الأسلاك. ثم بدأت بعد 
ذلك شركات الهواتف البعيدة المدى بتقديم خدمات الشبكة المحلية الافتراضية اللاسلكية 
لنقل البيانات. وقد أسهم نمو تلك الشبكات اللاسلكية والإنترنت وشبكة الويب العاممية في 
تطوير الطريقة التي نفكر فيها بخدمات تقنية المعلومات هذه الأيام. 

إن الحوسبة السحابيةء على كل حالء تعد أكثر من مجرد شبكة إنترنت» فهي الطريقة 
التي نستخدمها نحن للتفكير بالخدمات التي تقدمها التطبيقات التي تسكن شبكة 
الإنترنت. ولأنه من المستحيل أن يكون هناك تحديد مسبق لمسارات حركة الإنترنت بشكل 
دقیق» فقد تم استخدام مصطلح السحابة لندل مجازا على :اللزافق الخاضة يُخَدِمَات ثقنية 
المعلومات والتي تعد أحد مسئوليات مقدمي الخدمات» إضافة إلى البنية التحتية للشبكة. 
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وسرعان ما تبع ذلك كل من مفاهيم المنتجات البرمجية أو الخدمات عبر الإنترنت أو مفهوم 
البنية الموجهة نحو الخدمات 5084. 
يقوم بائعو البرمجيات عادة بعرض المنتجات البرمجية الخاصة بهم على شكل خدمات 
على الإنترنت بدلا من أن تكون على شكل تطبيقات تسكن خوادم العملاء الشخصية. وخير 
مثال هنا - أحد رواد مثل هذا النوع من المنتجات - هو مورد البرمجيات الخاصة بإدارة 
علاقات العملاء سيلزفورس .(SalesForce) (www.salesforce.com/crm/products.jsp)‏ 
فهذا المورد للأدوات البرمجية الخاصة بتتبع العملاء والمبيعات لا يقوم ببيع منتجاته كمجموعة 
من البرامج المحملة على الأقراص المدمجة 0105 ليقوم العميل باستخدامها. لكنه يقوم بعرض 
جميع البرامج والوثائق الخاصة بشركة 531655010 على شبكة الإنترنت» حيث يقوم العملاء 
بدفع المال مقابل المنتجات البرمجية فقط عندما يستخدمونها. حيث تُستخدم تطبيقات شركة 
151016 على شكل خدمات مقدمة للعملاء. 
يوضح الشكل التوضيحي )١-۹(‏ هذا المفهوم الخاص بالحوسبة السحابية. وقد قمنا 

بتسليط الضوء على مقدمي الخدمات الذين يقومون بعرض منتجات خاصة بالحوسبة 
السحابية هذه الأيام مثل شركة أمازون ۸۳۵20١‏ وشركة جوجل 000816 وشركة 
مايكروسوفت 111105016 وشركة سيلز فورس عع53165101 كذلك. وما هذه إلا عينة 
بسيطة عن بعض التطبيقات الحالية» وبالتأكيد هناك ما هو أكثر بكثير. وفيما يلي بعض 
فوائد التطبيقات التي تعمل في بيئة الحوسبة السحابية: 
- خفض تكاليف البنية التحتية نتيجة المركزية: مع وجود تطبيقات تقنية المعلومات على 

البيئة السحابية: لم يعد هناك حاجة للحفاظ على المستوى نفسه من العمليات الخاصة 

بإدارة التغييرات البرمجية وغيرها من الضوابط المتعلقة بتلك التطبيقات الموجودة في 

البيئة السحابية. قد يكون لهذا الأمر إلى حد ما جانب إيجابي وآخر سلبي بالنسبة للبعض 

نظراً لأنك تحصل فقط على السمات والأشكال التي يسمح بها التطبيق. 
- ارتفاع سقف سعات الأحمال: يمتلك مقدمو الخدمات السحابية كشركة أمازون أو جوجل 

مزارع خوادم ضخمة جداً لنظم تقنية المعلومات وبقدرات تخزينية هائلة حيث تبدو 

سعات الأحمال التشغيلية لحواسيبهم وكأنها تقريباً لا محدودة. 
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- متابعة الأداء المناسب للنظم من قبل مقدم الخدمة: يستطيع مقدمو الخدمات السحابية 
أن يقوموا بمراقبة جميع خدمات تقنية المعلومات المقدمة من مزود البيئة السحابية 
وكذلك مراقبة المستخدمين المهمين. ونتيجة لذلك يجب أن يكون لدى مقدم الخدمة 
أدوات رقابية معمول بها لتقديم تغييرات التحسين الخاصة بالعملية بالشكل المطلوب. 

- مرونة التطبيقات وخدمات تقنية المعلومات: لقد قام مقدمي خدمات البيئة السحابية 
بعمل نسخ طبق الأصل للحلول -وهو ما يعرف باسم (المرآوية) ڇ«ذإهءءذص - التي يمكن 
أن تستخدم في حالات الكوارث أو في توازن الأحمال عند ازدحام البيانات. فسواء كانت 
هناك كارثة طبيعية تستلزم الحاجة لموقع آخر في منطقة جغرافية مختلفةء أو كان هناك 
ازدحام شديد للبيانات» إذ يكون مقدمو خدمات البيئة السحابية عادة على استعداد 
لتقديم الحلول المناسبة. 


شكل توضيحي (1-9) 


مفاهيم الحوسبة السحابية 
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إن مديري الشركات الذين يقومون بتطبيق حوكمة تقنية المعلومات بحاجة إلى اتباع 
نهج مختلف في مراجعة الضوابط الداخلية المتعلقة بتطبيقات البنية الموجهة نحو الخدمات 
4 بالإضافة إلى فهم الأمور الخاصة بأمن تقنية المعلومات في بيئة الحوسبة السحابية. 
لقد أصبحت خدمات شبكة الويب وغيرها من خدمات البنية التحتية نُقَدّم وبشكل متزايد 
في البيئة السحابية: الأمر الذي يستدعي إعادة التفكير ببعض الاعتبارات الخاصة بعمليات 
التدقيق والرقابة. 


مراجعة الضوابط الخاصة بتطبيقات الحوسبة السحابية: 

كون التطبيق يعمل انطلاقاً من بيئة البنية ا موجهة نحو الخدمات 504 - فهذا لا يعني 
أتندا أن الحاجة إلى تقييم وفهم الضوابط الداخلية الخاصة بهذا التطبيق لم تعد موجودة. 
بل يجب أن يستمر التطبيق القائم على البنية الموجهة نحو الخدمات في مسارات التدقيق 
وإجراءات فحص الأخطاء نفسها وغيرها من الممارسات الجيدة التي يمكن أن نجدها في 
أي تطبيق تقنية معلومات محكم الرقابة. في الغالب يمكننا توقع أن تطبيق الأعمال الذي 
يعمل تحت رعاية إحدى الشركات الكبرى التي تقدم الخدمات السحابية مثل جوجلء الذي 
يُستخدم غالباً من قبل عدد كبير من العملاء في جميع أنحاء العالم» لديه ضوابط داخلية 
ا ١‏ 

تمثل الحوسبة السحابية تغييراً جوهرياً في الطريقة التي تعمل وتدار بها التطبيقات» 
وبينما لا يوجد سوى عدد محدود من الباعة الذين يقومون اليوم بتقديم التطبيقات 
البرمجية القائمة على الخدمات» فإن هذا الرقم من مقدمي الخدمة مرشح للزيادة. هناك 
مستوى ضمني من الثقة في تلك الخدمات المقدمة من قبل العديد من مزودي الخدمة 
تحت مظلة سحب الإنترنت تلكء إلا أن قادة إدارة الأعمال وتقنية المعلومات لتلك الخدمات 
إلى جانب مدققي تقنية المعلومات يجب أن يحصلوا على ضمانات بأن هذه التطبيقات 
القانئمة على السحابة تتم مراقبتها بشكل جيد. كما يجب على جميع المستخدمين المباشرين 
وغير المباشرين للحوسبة السحابية تطوير مستوى قوي من الثقة في الخدمات البرمجية 
والبنية التحتية التي تشكل السحابة الخاصة بالمؤسسة. يجب أن يلتقي المسئول التنفيذيء 
الذي يحدد ما إذا كان قسم تقنية المعلومات لديه سيقوم بتبنى إستراتيجية الحوسبة 
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السحابية فيما يخص بعض تطبيقاته في المؤسسة. مع إدارة تقنية المعلومات لفهم مثل هذه 
ا مبادرات. وفيما يلي بعض القضايا الأماسية فيما يخص حوكمة وضمان تقنية المعلومات 
في الحوسبة السحابية: 
- الشفافية (15:21150216126: يجب على مقدمى الخدمات السحابية أن يكونوا قادرين 
على إثبات وجود ضوابط أمنية فعالة وقويةء تضمن للعملاء بأن معلوماتهم مؤمنة على 
نحو جيد ضد أي عملية وصول غير مصرح بهاء أو تغيير. أو تخريب. فالأسئلة الرئيسية 
التي توجه لأي مقدم خدمات يعرض التطبيقات السحابية هي: 
- ما نوعية الموظفين العاملين لدى مقدمي خدمات البيئة السحابية الذين يستطيعون 
الوصول يلعلومات أي عميل؟ 
- هل يتم الحفاظ على الفصل بين مهام موظفي مقدمي الخدمات السحابية؟ 
- كيف يتم الفصل بين الملفات والبيانات الخاصة بال معلومات المختلفة للعملاء؟ 
- ما الضوابط الموضوعة بنع أي خروقات أمنية ورقابية في السحابة والكشف عنها والرد عليها؟ 
- الخصوصية '(21178: يجب على مقدمي خدمات الحوسبة السحابية إعطاء ضمانات 
بأن ضوابط الخصوصية المستخدمة ستمنع الخروقات الأمنية وتكشف عنها وترد عليها في 
الوقت المناسبء وبأن لديها خطوط اتصالات قوية ويتم فحصها بشكل دوري. 
- الامتثال ع1126مدمه0©: لكي يتم الامتثال لمختلف القوانين واللوائح والمعايير المعمول 
بهاء فقد تكون هناك مخاوف متعلقة بالحوسبة السحابية من حيث أن البيانات قد لا 
تُحفظ في مكان واحد بل را لا يكون من السهل استرجاعها. فمن المهم جداً ضمان أنه 
عند طلب البيانات من قبل أصحابهاء فإنه هكن تقدهها دون المساس بالبيانات الأخرى. 
عند استخدام الخدمات السحابية» يجب أن تكون هناك ضمانات بأن المؤسسة تستطيع 
الحصول على بياناتها عندما تحتاجهاء أو أن الجهة المقدمة للخدمة قد تطالب بحقها في 
حجب البيانات عن السلطات. 
- تدفق البيانات عبر الحدود: مع وجود احتمالية تخزين المعلومات السحابية في أي 
مكان داخل السحابة» فقد يكون معرفة الموقع الجغرافي للمعلومات من إحدى القضايا أو 


۹۰ دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


حوسبة سحابية وافتراضية وحوسبة محمولة متنقلة 


المشاكل. فالموقع الجغرافي للبيانات هو الذي يفرض الالتزام القانوني والقضائي للفصل في 
الدعاوى. ولا يزال هناك العديد من المسائل القانونية التي لم تحل بعد في هذا المجال. 
- الاعتماد: يجب أن يزود مقدمو خدمات الحوسبة السحابية عملاءهم بالضمانات الكافية 
على أنهم يقومون بعمل الأشياء "الصحيحة". لذلك: يجب أن نرى في المستقبل عمليات 
تدقيق مستلقة يقوم بها طرف ثالث و/أو تقارير عن الخدمة لأحد المدققين والتي ستصبح 
جزءا حيويا لأي برنامج ضمان يخص مقدم خدمات الحوسبة السحابية. وستتبع هذه 
التقارير المعيار الصادر عن المعهد الأمريكي للمحاسبين القانونيين 41024 والمعروف 
باسم معيار التدقيق رقم "١1١‏ (70 585) الذي سيصبح أكثر أهمية في السنوات القادمة. 
إن وجود المعايير القوية والفعالة من شأنه أن يساعد المؤسسات على كسب المزيد 
من الضمانات المتعلقة بالضوابط الداخلية وقضايا أمن تقنية المعلومات الخاصة بمقدمي 
خدمات الحوسبة السحابية. على كل حال فإنه حتى وقت نشر هذا الكتاب لم يكن هناك 

معايير محددة ومتاحة بشكل علني فيما يتعلق بالحوسبة السحابية. 
وفي ظل عدم وجود مجموعة محددة أو معرفة بلثل تلك المعايير فإنه يجب على المدير 

الأول أو مدقق تقنية المعلومات الذي يقوم بمراجعة التطبيقات المقدمة من قبل مزود 

خدمات الحوسبة السحابية أن يطلب من مزود الخدمة تقديم ضمانات كافية في ثلاث 

مجالات رئيسية على الأقل هي: 

-١‏ الأحداث 896245: يجب أن يقوم مزود الخدمة وبشكل منتظم بتوثيق جميع التغيرات» 
والإبلاغ عنها وعن غيرها من العوامل الأخرى التي تؤثر في إتاحة نظام البنية الموجهة 
نحو الخدمات 504. 

؟- سجلات 1.085: يجب أن يقوم مزود الخدمة بتقديم معلومات شاملة عن تطبيق البنية 
الموجهة نحو الخدمات 504 الخاص بالمؤسسة وعن بيئة التشغيل الخاصة به. 

- المراقبة 21021:018: أي عملية رقابية من هذا النوع لا يجب أن تكون تطفلية ويجب 
أن تكون مقتصرة فقط على الاحتياجات المنطقية الخاصة بمقدم الخدمة السحابية لكي 
يقوم بتشغيل مرافقه. 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات ۲۹۱ 


الفصل التاسع 


تتيح الحوسبة السحابية بعضاً من الفرص الجديدة والهامة من أجل إعادة النظر فيما 
يتعلق بأمن وضوابط تقنية المعلومات من أجل غد أفضلء ولا بد أن ينبح ذلك قريباً معايير 
ذات طابع أكثر رسمية في ما يخص الحوسبة السحابية. ونستطيع أن نتوقع مشاهدة ما هو 
أكثر من ذلك بكثير في المستقبل نظراً لأن التطبيقات السحابية والحوسبة السحابية لمزودي 
الخدمات في نمو ونضوج مستمر. 


تحديات الأمن والخصوصية في بيئة الحوسبة السحابية: 

إن استخدام التطبيقات التي تعمل في بيئة الحوسبة السحابية قد عمل على نقل 
مجموعة كبيرة من التحديات والمسؤوليات من إدارة تقنية المعلومات الخاصة بالمؤسسة 
بشكل أساسي إلى البيئة التي قد فُرضت فيها بعض المسؤوليات من قبل مقدم خدمة 
الحوسبة السحابية؛ في حين لا يزال البتعض الآخر منها من مهام إدارة تقنية المعلومات 
الخاصة بالمؤسسة. وهذا هو التحدي بالنسبة لإدارة تقنية المعلومات وام مدققين الداخليين 
التابعين لها على حد سواء» والذين يجب عليهم فهم ومعرفة مكونات أمن المعلومات 
والخصوصية التي تخص مقدمي خدمات الحوسبة السحابية الذين اختاروهم بأنفسهم. 

لا تزال الحوسبة السحابية عبارة عن توجه جديد ومتطور. فعلى الرغم من العدد 
المتزايد لمزودي الخدمات الذين يقومون بتقديم خدمات استضافة التطبيقات السحابية 
وعلى الرغم أيضاً من وجود مزودي خدمات مثل شركة جوجل وشركة أمازون الذين يقومون 
ببناء بيئات ضخمة ومعقدة ومتعددة الخوادم للحوسبة السحابية» إلا أنه لا يوجد هناك 
مجموعة محددة لأفضل الممارسات المتفق عليها بين مختلف هؤلاء المزودين للخدمات 
السحابية. في بعض الأحيان نرى أن هذا التوجه الموجود اليوم لدى المؤسسات لتحويل 
بعض موارد تقنية المعلومات الخاصة بها إلى مقدمي خدمات الحوسبة السحابيةء ولو 
بطريقة رها تكون غريبة بعض الشيء. يشبه في بعض عناصره عملية الانتقال إلى ما كان 
يعرف باسم مكاتب خدمات تقنية المعلومات والتي ظهرت في أوائل الثمانينيات من القرن 
الماضي والتي أصبحت الآن من مفاهيم الماضي. 

قررت العديد من المؤسسات في منتصف وحتى نهاية سبعينيات القرن الماضي أنها 
بحاجة إلى الانتقال من عمليات وحدة سجلات البطاقات المثقبة إلى أحد نظم الحواسيب 


۹۲ دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


حوسبة سحابية وافتراضية وحوسبة محمولة متنقلة 


المركزية 10213453126 المتطورة. لذا فقد تم إضافة الكثير من الكوادر البرمجية المطورّة 
للنظم والنظم الحاسوبية المركزية الجديدة التي تم بناؤها وتنفيذهاء غير أن النتائج كانت 
مخيبة جداً للآمال. حيث كانت المشكة المتكررة هنا هي أن نظم الحوسبة المركزية 
الجديدة تلك لا تملك السعة الكافية لمعالجة الكميات المطلوبة من بيانات ا مؤسسات» وفي 
خال قاست جذلكه كانت تواجة العذيد من مشاكل الصيانة والتوقف عن العمل. 


وقد كان الحل بالنسبة للعديد من المؤسسات وقتها هو تحويل ونقل عمليات التشغيل 
الخاصة بنظمهم الحاسوبية إلى ما كان يعرف وقتها بمكاتب الخدمة - وهو أحد أكبر موارد 
نظم الحاسب المركزية الذي كان يقوم بتجميع المدخلات للعديد من العملاء ومعالجة 
النظم الخاصة بهم وتسليم تقارير بالمخرجات. وم تكن مكاتب خدمات النظم الحاسوبية 
تلك تعمل على نحو جيد أو مناسب بالنسبة للجميع. فقد كان العديد من المشاركات في 
تلك الخدمات يتم دون إدراك ووعي تام لما سيحصلون عليه من حيث الخدمات وإمكانية 
المحافظة على أمن وسلامة معلوماتهم وإمكانية متابعة الضوابط الداخلية للعمليات 
الخاصة بمؤسساتهم. لقد انتهت عمليات التشغيل الحاسوبية الخاصة بمكاتب الخدمة هذه 
وم يعد لها وجود في هذه الأيام» وكان ذلك حتى قبل زوال الأجهزة المركزية 1021060106 
بفترة كافية. على كل حال فقد وقعت بعد ذلك بعض الأمور المشابهة لما يحدث هذه 
الأيام مع المؤسسات التي تقوم بتحويل بعض عمليات التشغيل الاعتيادية الخاصة بها إلى 
بيئة الحوسبة السحابية. القضية الرئيسية هي أن المؤسسات لا تقوم دائماً بتوجيه الأسئلة 
الملانمة لمقدمي الخدمات الخاصة بهم عندما يقومون بالتحويل إلى البيئة السحابية ذات 
البنية الموجهة نحو الخدمات 504. 

عند اتخاذ قرار يتعلق باختيار مقدم الخدمة كجزء أساسي من عملية الانتقال إلى البنية 
وة تك الخد مات 50 والدويدية الس اة كان للؤسسة يجب أن بال كلا من 
هؤلاء الباعة المتنافسين على تقديم الخدمات بعض الأسئلة الحاسمة والمهمة التي تتعلق 
بعمليات التشغيل والمعايير الخاصة بهم. ويجب على الفريق الإداري المسؤول عن حوكمة 
تقنية المعلومات في المؤسسة الحصول على ضمانات كافية بشأن بعض المجالات وا مخاوف 
السبع التالية في عملية مزود الخدمات الحاسوبية السحابية: 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات ۹۲ 


الفصل التاسع 


-١‏ المستخدم المصرح له بالوصول إلى البيانات: إن البيانات الحساسة التي تتم معالجتها 
خارج المؤسسة وفي بيئة الحوسبة السحابية تحمل معها مستوى متأصلاً من المخاطرء ظا 
لأن خدمات التعهيد الخارجي تغفل الضوابط المادية والمنطقية وكذلك الضوابط الخاصة 
بالأفراد العاملين بتقنية المعلومات التي تمارسها إدارة تقنية المعلومات على برامج نظمها 
الداخلية وتبذل فيها الكثير من الجهد. لذا يجب على مقدم خدمة الحوسبة السحابية 

عطاء معلومات وضمانات كافية تتعلق بالأشخاص الذين سيتولون إدارة بيانات ونظم 
المؤسسة في البيئة السحابية. كما يجب على مزودي الخدمات توفير معلومات محددة 
عن عمليات التوظيف والإشراف على مديري النظم أصحاب الامتيازات والصلاحيات 
وعن الضوابط المفروضة على وصولهم للبيانات والنظم. 

؟- الامتثال التنظيمي: إن المؤسسة في النهاية هي المسؤولة عن أمن وسلامة بياناتها 
حتى بعدما تقوم برفعها إلى أحد مزودي الخدمات. لذا يجب على مقدم الخدمات 
الحاسوبية السحابية إعطاء معلومات تفصيلية وكافية عن السياسات الخاصة بحوكمة 
الأمن المتبعة لديها وعن النتائج المعلنة الخاصة بتقارير عمليات التدقيق الخارجي 
الأخيرة وبالشهادات المتعلقة بالأمن لديه. ويجب أن يوافق مزود الخدمة على إخطار 
المؤسسة بتلك الأنشطة بشكل منتظم. 

*- أماكن البيانات: عندما تقوم المؤسسة باستخدام البيئة السحابية لتخزين البيانات 
والنظم الأساسية الخاصة بهاء فمن المحتمل ألا تكون المؤسسة على علم بالمكان الذي 
سيستضيف البيانات الخاصة بهاء بل حتى بالدولة التي ستوجد بها هذه البيانات والنظم. 
وبموجب قوانين ملكية البيانات» فإنه يتعين على مقدمي خدمات الحوسبة السحابية 
تقديم معلومات كافية عن الالتزامات والاختصصات القضائية للأماكن التي سيتم فيها 
حفظ ومعالجة بيانات المؤسسة. كما يجب على مقدم الخدمة أيضا إبرام عقد إلزامي 
بالامتثال والالتزام بمتطلبات الخصوصية ال محلية نيابة عن عملائه. 

ع- الفصل بين البيانات: تكون البيانات عادة داخل السحابة في بيئة مشتركة بجانب بيانات 
خاصة بعملاء آخرين. لذا يجب على مقدم الخدمة توفير معلومات تفصيلية حول ما 
سيتم عمله لفصل البيانات في فترات التوقف» ويجب عليه أيضاً تقديم دليل يُمْبت 


6 دليل المستول التنفيذي لحوكمة تقنية المعلومات 


حوسبة سحابية وافتراضية وحوسبة محمولة متنقلة 


برامج التشفير الخاصة به قد تم تصميمها وفحصها من قبل خبراء مختصين. فحوادث 
التفير قد,تججل البياناث غر صالحة. امال يكل كامل: دل من الامكن أيضا أن 
تجعل حتى إتاحتها عملية صعبة ومعقدة. 

0- استرجاع البيانات: حتى إن كانت المؤسسة لا تعلم المكان الذي توجد فيه بياناتها 
داخل السحابةء فإنه يجب على مزود الخدمات السحابية أن يقوم بتوثيق ما سيحدث 
لبيانات وخدمات المؤسسة في حال وقوع الكوارث. كما يجب عليه أن يقدم الدليلء 
متضمناً نتائج الفحص الخاصة به» والذي يثبت أن وسائل الاسترجاع والتعافي المستخدمة 
لديه قادرة على عمل نسخ طبق الأصل من البيانات والبنية التحتية للتطبيقات عبر عدة 
مواقع. كما يجب على الخدمة أن تؤكد ما إذا كانت لديها المقدرة على إجراء الاستعادة 
الكاملة وكم من الوقت ستأخذ للقيام بذلك. 

-٦‏ دعم التحقيق والاستقصاء: قد يكون من المستحيل حدوث أنشطة تخص التحقيق 
أو الاستقصاء غير الملائم أو غير القانوني في الحوسبة السحابية. حيث إنه من الصعب 
إجراء! تعقيقات أو استقضاءات تتعلق والخدماتالستغانية غل وجه الخصوصن انظرا لأن 
عملية الدخول وكذلك البيانات للعديد من المستخدمين قد تتشارك في الموقع وقد تنتشر 
أيضاً عبر مجموعة من الخوادم المضيفة ومراكز البيانات الدائمة التغيير. لذا يجب على 
مقدم الخدمة إبرام عقد إلزامي لدعم أشكال محددة من التحقيقات والاستقصاءات» 
إلى جانب تقديم الدليل على أن مقدم الخدمة بالفعل قد قام بدعم مثل هذه الأنشطة 
بنجاح. 

۷- قابلية الاستمرار والتطبيق لفترة طويلة: لا يوجد لدى المؤسسة أي ضمانات بأن مقدم 
خدمة الحوسبة السحابية الخاص به لن ينكسر أبداً أو يتم ابتلاعه والاستحواذ عليه من 
قبل شركة أكبر. على كل حال فإنه يجب على اللمؤسسة أن تحصل على ضمانات كافية من 
مقدم خدمة الحوسبة السحابية الخاص بها بأن بياناتها ستبقى متاحة حتى بعد حدوث 
ذلك. كما يتعين على أي مقدم خدمة تقديم الضمانات الكافية بأن المستخدمين سوف 
يسترجعون بياناتهم وبالصيغة التي تسمح لهم باستخدامها في التطبيقات البديلة. 


دليل امستول التنفيذي لحوكمة تقنية ا معلومات 40+ 


الفصل التاسع 


تعد الحوسبة السحابية وتطبيقات البنية الموجهة نحو الخدمات 504 الخاصة بها من 
المجالات المتطورة والسريعة التغير. لذا فإننا نستطيع أن نتوقع رؤية المزيد من المعايير 
الموضوعة وأفضل الممارسات المتعارف عليها في المستقبل. وعلى الرغم من أننا قد أشرنا إلى 
مكاتب خدمات تقنية المعلومات التي كانت تستخدم منذ سنوات عديدة ت مثالاً على كيفية 
عدم اختيار مقدم الخدمات السحابيةء فإننا نشعر بأنه كان هناك ما يكفي من الدروس 
المستفادة في هذا الصدد لعدم تكرار مثل تلك الأخطاء. فالحوسبة السحابية هي الموجة 
المستقبلية» ويجب علينا أن ننظر إلى المزيد من الاستخدامات لهذا المفهوم في السنوات 
القادمة. 


نظم تقنية المعلومات وافتراضية إدارة التخزين: 

الافتراضية هي مفهوم يعبر عن تجميع وسائل التخزين المادية لتقنية المعلومات من 
عدة أجهزة تخزين شبكية داخل ما يبدو وكأنه وحدة تخزين واحدة يتم إدارتها من خلال 
وحدة تخزين مركزية. حيث يساعد التخزين الافتراضي المدير المسؤول عن التخزين في 
تقنية المعلومات على إنجاز مهام النسخ الاحتياطي والأرشفة واسترجاع البيانات بشكل 
أكثر سهولة وفي وقت أقلء وذلك عن طريق إخفاء التعقيدات الحقيقية الموجودة في شبكة 
أجهزة تخزين تقنية المعلومات بالكامل. وقد قدم مؤلف هذا الكتاب لافتراضية إدارة 
التخزين لأول مرة عام ۲٠١۲‏ عندما كان عضواً في مجموعة استشارية صغيرة في شركة إي إم 
سي 82310 التي قامت بإطلاق الممارسات الاستشارية لمكتبة البنية التحتية لتقنية المعلومات 
Information Technology Infrastructure Library (ITIL)‏ (وقد تم مناقشة أفضل 
ا ممارسات المتعلقة بآيتل في الفصل السادس من هذا الكتاب). في هذا الوقت» كانت شركة 
EMC‏ أحد الرواد في مجال أجهزة إدارة التخزين وكان نيا مفاهيم الافتراضية يعد 
ابتكاراً تقنياً کا وقد أصبحت الافتراضية منذ ذلك الوقت سكام على نطاق واسع كما 
أنها إحدى العمليات الهامة لإدارة موارد تقنية المعلومات. 

ولفهم ومعرفة افتراضية تقنية ا معلومات» ينبغي على المرء أن يعود مرة أخرى 
إن الأيام الأولى للنظم الحاسوبية - ولاسيما الأجهزة المركزية الكبيرة 12811181265 
التي كانت تستخدم في الماضي. فقد كانت أنظمة التشغيل لتلك الحاسبات تتحكم 


۳۹ دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


حوسبة سحابية وافتراضية وحوسبة محمولة متنقلة 


في مجموعة مختلفة من الأجهزة الطرفية المتصلةء متضمناً ذلك الطابعات ومشغلات 
الأشرطة وما كان يطلق عليه وقتها قرص التخزين الضخم وأجهزة تشغيل الأسطوانات. 
وعلى الرغم من أن أنظمة الحاسبات المركزية 3236 هنهم: البدائية هي التي قامت 
في البداية بالاستخدام المكثف لمشغلات الأشرطة الممغنطة الرخيصة نسبيا في عمليات 
تخزين البيانات؛ فإن التقنية سرعان ما تحولت إلى استخدام أجهزة التخزين التي 
اعتمدت في البداية على الأسطوانات الممغنطة الدوارة ومن ثم على مشغلات الأقراص 

وعلى الرغم من الأثمان الباهظة لمشغلات الأسطوانات والأقراص عندما تم تقدهها لأول 
مرة في الأيام الأولى لظهور تقنية المعلومات» فإنه سرعان ما أصبحت تلك المشغلات أكثر 
شيوعاً واستخداماً من مشغلات الأشرطة البدائية. فقد كانت مشكلة مشغلات الأشرطة 
هي أنه من أجل قراءة السجل رقم en‏ مغلا لايد أن عن مل ار أولا عن 
شجلا قبله للوضول إلبة. ومترغان ما أضبجت"مقنغلات الأمطوانات مقاية 
بصمة تاريخية» وسرعان ما انتقلت التقنية إلى الأقراص الدوارة التي امتازت بالسرعة 


العالية ومخططات الفهرسة التي كانت تسمح لها بتحديد موقع السجل رقم ٠٠١٠٠١‏ 
بشكل فوري إلى حد ما. 
بوجه عام» فإن افتراضية تقنية المعلومات ا تعنى إنشاء نسخة افتراضية من أجهزة أو 


موارد تقنية المعلومات» مثل الخادم أو أجهزة ا أو الشبكة؛ أو حتى نظام التشغيل 
حيث يعمل إطار العمل على توزيع هذا المورد على واحد أو أكثر من بيئات التشغيل. 

حتى إن الممارسة الشخصية الشائعة والخاصة بتقسيم القرص الصلب لنظام الحاسب 
المكتبي (الشخصي) تخد شكلاً من أشكال الافتراضية نظراً لأنك تقوم بأخذ قرص واحد 
وتقوم بتقسيمة إلى اثنين من مشغلات الأقراص الصلبة. حيث يستطيع كل منٍ الأجهزة 
والتطبيقات وا مستخدمين التفاعل مع هذا المورد الافتراضي كما لو كان مصدراً HA‏ 
E‏ فقا لقد أصبح مصطلح الافتراضية بطريقة ما مصطلحاً شائعاً في عام تقنية 
المعلومات» وأصبح يُطلق على نظم الحاسب والعناصر التي تم تحويلها إلى البيئة الافتراضية 
اسم الأجهزة الافتراضية (178/5) s٠«طةN‏ 1711621 ترتبط افتراضية تقنية المعلومات 
بعدد من التقنيات الخاصة بتقنية المعلومات تشمل ما يلي: 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات ۹۷ 


الفصل التاسع 


« التخزين الافتراضي 11:]11211221]102؟ 5]01286: وهو دمج العديد :من أجهزة العكرين 
الشبكي بحيث تبدو كأنها وحدة تخزين واحدةء فقد كانت المرة الأولى التي تم فيها 
تقديم افتراضية إدارة التخزين لتقنية المعلومات نحو عام ٠٠١7‏ من قبل شركة ٥غ‏ 
وقد تم التقاط هذا المفهوم من قبل العديد من بائعي ات اجا لنظم إدارة 
التخزين. 

٠‏ الخادم الافتراضي 7111211220102 :561:61: وهو تقسيم الخادم الفعلي إلى خوادم 
افتراضية أصغر حجماً. وقد كانت شركة 18۷ هي أول من طور هذا المفهوم عن طريق 
نظام التشغيل الخاص بالحاسب المركزي الافتراضي 723111118126 172/1 الخاص بها والذي 
يعود إلى تمانينيات القرن الماضي. 

٠‏ نظام التشغيل الافتراضي :0perating system-level virtualization‏ وهو أحد أنواع 
التقنية الافتراضية للخادم التي تتعامل مع نظم التشغيل المعقدة ذات الطبقات البرمجية 
المتعددة. 

٠‏ الشبكة الافتراضية 711:611211221101 kاNetwo:‏ هكن جعل الشبكة الفعلية الواحدة 
عبارة عن شبكة افتراضية من خلال عمليات التقسيم المنطقية لموارد الشبكة. 

٠‏ التطبيق الافتراضي 71111211226101 116210ممة: يمكن استخدام هذا المفهوم نفسه 
لزيادة فائدة وكفاءة تقنية المعلومات وإدارة عمليات الترقية والنسخ الاحتياطي بصورة 
أكثر سهولة. وهو ما سنقوم بتوضيحه في القسم التالي. 

إن الافتراضية عموماً هي فصل وظائف الجهاز عن عناصره الحقيقية باستخدام برمجيات 
خاصة. ففي البيئة الافتراضية يتم فصل الموقع الفعلي للوحدة عن وظائفه وتقوم برمجيات 
التحكم بإدارة البيانات أو الوظائف بغض النظر عن أماكنها الحقيقية. حيث تعتبر عملية 
إدارة وحدات مادية منفصلة والتحكم بها من خلال برنامج خاص بالافتراضية من الطرق 
الفعالة جداً. فباستخدام برمجية التحكم المناسبة» هكن استخدام تقنيات البيئة الافتراضية 
في العديد من أجهزة ومعدات تقنية المعلومات متضمنة إدارة التخزين ومكونات الشبكة 

والخوادم وأنظمة التشغيل وحتى التطبيقات. 


۸ دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


حوسبة سحابية وافتراضية وحوسبة محمولة متنقلة 


لقد اقتحمت اليوم البيئة الافتراضية لتقنية ا معلومات صناعة تقنية ا معلومات بكل 
ما تعنيه الكلمة من معنى. فقد أشارت استطلاعات الرأي إلى أن ما يزيد عن نصف 
إدارات تقنية المعلومات في المؤسسات الكبيرة حالياً تقوم بتشغيل خادم افتراضي واحد على 
الأقلء وأن هناك غددا أقل بكثير لكن متزايد من هذه الإدارات لديها إستراتيجيات أمنية 
قد صُممت خصيصاً للعمل في تلك البيئة الافتراضية الخاصة بها. من ناحية أخرى. سواء 
كانت المؤسسة قد قامت فعلاً بتطبيق إستراتيجية البيئة الافتراضية لتقنية المعلومات أم ما 
زالت في طور التطبيق لهاء فمن المحتمل أن تكون الشركة عرضة ممخاطر التهديدات الأمنية 
التي يمكن أن يكون لها تأثير كبير في البيئة التشغيلية الخاصة بالمؤسسة. وما كانت النظم 
التقليدية لأمن تقنية المعلومات تعتمد على المعدات وعلى نظم التشغيل الخاصة لتقوم 
بحماية البيئة التي تعمل بهاء فإنها تكون عديمة الفائدة في البيئة الافتراضية التي تهدف 
بالأساس إلى تقليل المعدات المستخدمة أو الاستغناء عنها. 

هذا بالإضافة إلى أن أفضل الممارسات التقليدية أصبحت الآن في موضع شك نظراً 
لأن تنفيذ التجزئة المادية وغيرها من الأساليب الأخرى يعد أمراً مستحيلاً إلى حد ما في 
ظل تلك الممارساث. .وأخيرا فإنه قظراً لظبيعة البيئة الافتراضية: تتزاين تعقيدات الشبكة 
بشكل أسرع من نظم الإدارة وا مراقبة القديمة, مما يجعل الرؤية فيما يتعلق بالبيئات 
الافتراضية والحقيقية غير واضحة تماماً. لذلك تحتاج المؤسسات إلى أن تنظر بعمق 
إلى الأساليب الجديدة المتبعة لتأمين شبكاتها ومعلوماتها الحساسة في العام الافتراضي 
الجديد. 

يناقش القسم التالي بعض القضايا الفريدة الخاصة بأمن تقنية المعلومات والمرتبطة 
بتطبيق البيئة الافتراضية لتقنية المعلومات» التي تتجاوز القضايا العامة لحوكمة أمن 
تقنية المعلومات والتي تمت مناقشتها في الفصل العاشر من هذا الكتاب. بالإضافة إلى 
ذلك قد ثثير البيئة الافتراضية بعض القضايا الفريدة لحوكمة تقنية المعلومات. لذا يتعين 
على المديرين فهم إستراتيجية البيئة الافتراضية وعمليات الرقابة الداخلية لإدارات تقنية 
المعلومات الخاصة بهم. 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات ۹ 


الفصل التاسع 


حوكمة تقنية المعلومات والافتراضية: 

كما ذكرنا سابقاً كان الظهور الأول لمفهوم الافتراضية في عصر الحاسبات المركزية 
mainframe‏ عندما قامت شركة 1831 بطرح المفهوم الذي أطلقت عليه اسم الأجهزة 
الافتراضية 11265ا2/18 173/1 كأحد العناصر الخاصة في بنية الحاسبات المركزية لديهاء وقد 
كان ذلك في ثمانينيات القرن الماضي. ثم انتقلت الخصائص الفريدة الخاصة بالأجهزة 
الافتراضية بعد ذلك إلى حاسبات سطح المكتبء تماماً كما انتقلنا نحن إلى النظم القائمة على 
بيئة الخادم-العميل ثم انتقلت إلى عاط الإنترنت. لقد أصبحت الافتراضية اليوم في مقدمة 
ا موضوعات الساخنة نظراً لأننا نقوم بتحويل عمليات إدارة التخزين من البيئة الواقعية إلى 
الافتراضية وتطبيق الأجهزة الافتراضية في بيئة النظم الشبكية المتعددة الخوادم الموجودة 
اليوم. 

لقد اعتقد مديرو مراكز البيانات بداية بأنهم يستطيعون إدارة تلك الأجهزة الافتراضية 
بطريقة تشبه كثياً الطريقة التي يستخدمونها في إدارة الخوادم الحقيقية الخاصة بهم إلا 
أن التجربة أثبتت استحالة هذا الأمر بشكل عام. فمع وجود العديد من القواسم المشتركة 
بين البيئتين الافتراضية والحقيقيةء هناك أيضاً بعض الاختلافات الجوهرية التي تؤثر في إدارة 
وحوكمة النظم. 

إن التأثير المحتمل لافتراضية إجراءات وعمليات الرقابة الموجودة والمعمول بها حالياً 
يصن واعد ]امن اا ت اة الكتيرة ا فكان متيل لقال هناك مو من 
العمليات والإجراءات المتبعة في مركز البيانات بخصوص عملية إضافة وتجهيز مجموعة 
من الخوادم الجديدة. ويتضمن ذلك سلسلة من التوقيعات والإجراءات المتعلقة بعمليات 
التسليم الموجودة بين مختلف فرق مركز البيانات» وينتج عن ذلك في النهاية خادم جديد 
تم تركيبه في مركز البيانات. فضلاً عن إمكان إحدى عمليات تشغيل تقنية المعلومات إنشاء 
خادم افتراضي جديد. حرفي هجرد النقر على زر الفأرة - وذلك إما بنسخ أحد الأجهزة 
الافتراضية الموجودة أو إنشاء جهاز افتراضي جديد من القوالب المخصصة لذلك - وقد أصبح 
من السهل تجاوز مثل تلك العمليات. 


2 دليل المسئول التنفيذي لحوكمة تقنية ا معلومات 


حوسبة سحابية وافتراضية وحوسبة محمولة متنقلة 


على سبيل المثال يمكن لعمليات تشغيل تقنية المعلومات المؤسسية عمل عدة نسخ 
افتراضية متماثلة من الخادم نفسه وتوزيعها على وحدات التشغيل الموجودة في المنظمة 
المحيطة بها. وقد تكون هناك تحديات بالنسبة للحوكمة والرقابة في تتبع هذه النسخ. 
حيث ستقوم النظم الإدارية المقدمة من قبل بائعي البرمجيات الافتراضية بتحديد أماكن 
الأجهزة الافتراضية عند لحظة زمنية محددةء ولكنها عاجزة عن أن تحدد أين كانت أو مدى 
علاقتها بالخوادم الافتراضية الأخرى. ومما يزيد الأمر تعقيداً حقيقة أن الأجهزة الافتراضية 
كما تم تعريفهاء متحركة. فهي قادرة على الحركة حول البيئة الخاصة بها بعد أن يتم 
نشرها. فهذه الحركة لا تجعل عملية تتبع وإدارة تلك الأجهزة الافتراضية أكثر صعوبة 
فحسب» بل يمكن أيضا أن تكشف السياسات الخاصة بتقسيم البيانات والتطبيقات. 

إن هذه الاختلافات» وغيرهاء تجعل من الصعب أيضاً بالنسبة لمعظم أدوات إدارة مراكز 
البيانات المعمول بها حالياً أن تكون قادرة على العمل في الفضاء الافتراضي وستترك العديد 
مسق النقاط اللبهمة أو الخامظة. .وما يزيد هذا الأمر تغقيدا قلة'الأذوات اللازمة للإذارة 
الافتراضية وإعداد التقارير الخاصة بها وأتمتها. وتكون النتيجة بيئة يدوية تماما حيث لا 
تتكامل على نحو جيد مع نماذج الامتثال والرقابة الحالية لمركز البيانات. وهذا يعني أن 
نظم "الراية الحمراء" أو التنبيه التقليدية قد لا تتمكن من العمل بالشكل المناسب في هذا 
الفضاء (الافتراضية). فهي إما أن يتم التحايل عليها وإما أنها ببساطة لا تستطيع رؤية 
عمليات التشغيل اليومية» فتترك مراكز البيانات مكشوفة أو مستهدفة. 

في مركز البيانات الفعلي الخاص بتقنية المعلومات وبجميع ما يتضمنه من نظم وعمليات 
وضوابط وتوازنات رقابية» يتم إصدار التنبيهات في حال حدوث أمور خارجة عن المألوف. 
فالإدارة ومن خلال الاستثناء تكون هي القاعدة المتبعة اليوم وهي البيئة التي تعتبر عدم 
وجود أخبار جديدة هو بحد ذاته خبراً جيداً. لكن البيئة التي تكون فيها الضوابط اليدوية 
هي المهيمنة غالباً وتشح فيها عمليات التبليغ عن الأحداث» وقصور الرؤية الرقابية قد تؤدي 
إلى إيجاد قضايا لن تستطيع إدارة عمليات تشغيل تقنية المعلومات التنبؤ بها مستقبلاً. 
وقد اة قضية هة والسبة ل الحوسية الأفتراضية الضعيرة::ولكق كلما اقلت اة 
وراك ححمهاة فنت متها آنا رخاف الغا 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات ۴۱ 


الفصل التاسع 


عندما تقوم إدارات تقنية المعلومات المؤسسية بتبني تلك البيئات الافتراضية» فإن نقص 
الضوابط الآلية في بعض بيئات الأجهزة الافتراضية والحاجة المتزايدة لأنشطة الضوابط 
الداخلية اليدوية قد يتسبب في حالة من عدم التوازن بين عمليات التشغيل الخاصة بتقنية 
المعلومات وعمليات التشغيل الخاصة بالضوابط الداخلية. وسوف تتفاقم هذه الحالة 
(حالة عدم التوازن) فقط عندما تنمو بيئة الأجهزة الافتراضية. إن هذا النقص في الضوابط 
الآليةء وا متابعةء والقياس المستمر في مراكز البيانات الافتراضية» إضافة إلى زيادة العمليات 
اليدوية المصاحبة: أدى إلى استحداث بيئة تحتوي على ضوابط ذات فاعلية أقل ومخاطر 
أكثر من البيئة الحقيقية المناظرة لها. 


قضايا حوكمة وأمن البيئة الافتراضية لتقنية المعلومات: 

عندما ينتقل التخطيط الذي يُبذل فيه جهد كبير ولكنه في النهاية يخرج بشكل سيئ 
إلى البيئة الافتراضيةء فإنه قد يتسبب في إيجاد تحديات بالنسبة للمؤسسة. وكما ناقشنا 
في الفصول الأخرىء كلما خرج المزيد من الأنظمة الموضوعة للحوكمة: وإدارة المخاطرء 
والامتثال (6120) عن التوازنء زاد التأثير في الأعمال بصورة كاملة. إن "نقاط التحول" 
الفردية هنا ستكون مختلفة لكل مؤسسة على حدةء ولكن عاجلاً أو آجلاً سيتم الوصول 
إليهاء وذلك عندما تبدأ المؤسسات في رؤية التصاعد المستمر في تكاليفها ومخاطرها. وربما 
يكون هناك العديد من المؤسسات التي تعمل حالياً في ظل وجود نفقات غير مخطط لها 
على تقنية المعلومات. وذلك بسبب انتقالها إلى بيئات افتراضية غير فعالة. في حين تشهد 
مؤسسات أخرى ارتفاع نسبة الحوادث المرئية وغير المرئية في مراكز البيانات. جميع هذه 
الأمور ستؤثر في نهاية المطاف على مجمل أداء الأعمال اممؤسسية. 

ينبغي على ال مدير الأول في المؤسسة أن يناقش إستراتيجيات البيئة الافتراضية والأجهزة 
الافتراضية لتقنية المعلومات مع إدارة تقنية المعلومات. فإذا بدا أن الانتقال إلى الأجهزة 
الافتراضية سيكون على النحو المتفق عليه» فإنه يجب أن يكون هناك دليل على وجود خطة 
قوية لهذا المشروع (مشروع الانتقال)» كما تمت مناقشته في الفصل السادس عشر من هذا 
الكتاب» هذا بالإضافة إلى وجود تقدير واضح لبعض المخاوف الاستثنائية للرقابة المرتبطة 
بالبيئة الافتراضية لتقنية المعلومات. ولا يزال هناك العديد من السياسات التشغيلية 


۲ دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


حوسبة سحابية وافتراضية وحوسبة محمولة متنقلة 


وسياسات المخاطر والأهداف الرقابية يمكن تطبيقها في العام الافتراضي. رها يكون قد تم 

ضبطها لتتناسب مع الطبيعة الحركية لتلك البنية الجديدة. لكنها لا تزال تُطبق. وذلك 

يشمل العناصر المشتركة بالنسبة لجميع الخوادم (حقيقي أو افتراضي) كالتهيئة» وإدارة 
التوصيلات (التوصيلات الكهربائية)» والأمن. من ناحية أخرى, فإن للبيئة الافتراضية تفردياً 

يتطلب سياسات وضوابط جديدة تشمل ما يلي: 

٠‏ إدارة الهوية أعصعع2سهدد انا1: نظراً للطبيعة الحركية للأجهزة الافتراضية 
ستكون هناك حاجة إلى مستوى ما لإدارة هوية الملفات وال موارد التي لا تعتمد على 
(الأعراف) البسيطة للتسمية. لذا يتعين على وحدة ضمان جودة تقنية المعلومات إلى 
جانب التدقيق الداخلي لتقنية ا معلومات» مراجعة وتقييم العمليات من أجل ضمان 
تطبيق السياسات بشكل سليم. 

٠التحكم‏ في تنقلية الجهاز الافتراضي :VM mobility control‏ أحد العناصر الأساسية 
في القيمة المضافة بالنسبة للبيئة الافتراضية هو ال مرونة التي قدمتها لمجموعات تقنية 
المعلومات. فقد تم تصميم الأجهزة الافتراضية بحيث تكون متحركة وتستطيع بكل سهولة 
الانتقال من خادم إلى آخر» سواء كان ذلك استجابة للعمليات الآلية لتوازن الأحمالء أم 
بسبب الإزالة اليدوية للأجهزة الافتراضية من أحد الخوادم الحقيقية التي تحتاج إلى 
اة من اة أخرى: قان هده لكرونة مكن أن تكون ملاعا 15 حدينة ولك كتدفا لآ 
يجب أن تكون جميع الأجهزة الافتراضية متنقلة. فعلى سبيل المثال؛ قد تحتاج إدارة تقنية 
امعلومات» سواء لأهداف تتعلق بالرقابة أم بالتدقيق, إلى إثبات أن تطبيقاً ما متفق مع 
اللوائح التنظيمية أو ا معايير الداخلية للشركة. فربما يكون هناك حاجة لسياسات تتعلق 
بالأماكن التي يجب والتي لا يجب أن تعمل بها بعض الأجهزة الافتراضية المحددة: كما 
تتعلق أيضاً بتحديد المدة الزمنية التي يُسمح بها ببقاء الأجهزة الافتراضية دون اتصال. 

٠‏ التزويد الاحتياطي 2105151011185: يمكن التحايل بسهولة على العمليات التقليدية 
المتبعة لإضافة خادم جديد. لذا لا بد من وضع عمليات جديدة تحكم كلا من: ما الذي 
سيتم التزود به؟ (ما الذي سيتم إنشاؤه احتياطياً؟). ومن الذي لك سلطة السماح 
بإضافة خوادم جديدة؟ 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات ۳ 


الفصل التاسع 


٠‏ فصل البيانات 56021201011 1(868: لكل مركز بيانات مجموعة من القواعد المتبعة 
للقيام بعملية الفصل بين بيانات التطبيقات لديه» والتي يكون الدافع لها عادة إما 
المخاوف الأمنية أو القضايا المتعلقة بالامتثال. فعندما تقوم إدارة تقنية المعلومات بوضع 
التطبيقات في البيئة الافتراضية والتي تندرج تحت هذه المعايير. فمن امهم التفكير في 
الكيفية التي سيُفرض بها هذا الأمر على الجانب الافتراضي. ولكن أيضاً للحماية من 
التحركات غير الملائمة المقصودة وغير المقصودة خلال دورة حياة هذا الخادم. 

٠‏ الاسترداد «2)10د1كء126: إن ضمان إزالة الأجهزة الافتراضية الزائدة أو غير المستخدمة 
يعد مجالاً آخر من المجالات التي تتطلب سياسة وأهدافاً معينة. كما أن الآثار الأمنية 
المترتبة على هذه التقنية الجديدة هي أيضاً بحاجة إلى أن تؤخذ بعين الاعتبارء وهي 
تشمل: تأثير الأجهزة الافتراضية على النظم الأمنية لتقنية ا معلومات المعمول بها حالياً 
(فبعض النظم لا تعمل جيداً في البيئة الافتراضية)ء ومدى احتمالية التعرض لتهديدات 
هجومية جديدة. 

قد لا يكون المدير التقليدي المسؤول عن حوكمة تقنية المعلومات المؤسسية مُلماً بتلك 
القضايا والمسائل السابقة الذكر. ومع ذلك قد تستخدم تلك المسائل نقاط حوار رئيسية 
خلال الحديث مع إدارة تقنية المعلومات لديهم حول ما يتعلق بتقييم أي برنامج يخص 
افتراضية تقنية المعلومات داخل المؤسسة. وعلى الرغم من سرعة تبني الخادم الافتراضي في 
جميع أنحاء العامء فإنها لاتزال تقنية غير ناضجة نسبياً. فبالنسبة للكثيرين قد دخل الخادم 
الافتراضي إلى مركز البيانات من الباب الخلفي كأحد الأدوات التشغيلية المستخدمة والتي 
حققت مستوى عد من العوائد الاستثماريية Return On Investment (RO1)‏ وقد 
تطور الخادم الافتراضي منذ ذلك الوقت ليصبح البنية الهيكلية الجديدة مركز البيانات. لكن 
دخوله بهذه الطريقة جعله لا يخضع أبداً للعمليات الاعتيادية الخاصة راجعة الضوابط 
الداخلية التي يتم اتباعها عادة من قبل إدارات تقنية المعلومات قبل إطلاق الخوادم في مركز 
البيانات» وأسهم دخول الخادم الافتراضي بهذه الطريقة أيضاً في نقص بعض الوظائف التي 

تشتد الحاجة إليها. 


ع دليل المستول التنفيذي لحوكمة تقنية ا معلومات 


حوسبة سحابية وافتراضية وحوسبة محمولة متنقلة 


يوجد في السوق اليوم عدد من منتجات منصات البرمجيات الافتراضية » وتعتبر في إم 
وار ۷21۴ ۷M‏ هي الشركة الرائدة في هذا المجالء مع وجود عدد قليل من الشركات الأخرى 
مثل شركة مايكروسوفت 21/110501 وشركة سيتركس 01]132). فلكل منصة من هذه 
اللَيْصات مجموغة 'مخلفة من تقاط الفحف :وتقاط القوة: وقد خاصت العديه من اإذازات 
تقنية المعلومات إلى تشغيل خليط مكون من تلك المنصات الثلاث معا الأمر الذي أثار 
قضية أو مشكلة تتعلق بكيفية إدارة تلك البيئات غير المتجانسة. فليس بالأمر المفاجئ أن 
تركز نظم الإدارة المُقدَمة من قبل باعة النظم الافتراضية على نقل الجهاز الافتراضي أكثر من 
تركيزها على إدارة البيئة نفسها. إضافة إلى ذلك فإن معظم باعة النظم التقليدية الخاصة 
بإدارة مراكز البيانات يملكون نظماً تم بناؤها للعمل في بيئة مراكز البيانات الحقيقية ولا 
تعمل جيداً في البيئات الافتراضية. 

اتاد غان عات تفيل فف اللعلومات: وعان الغملنات العاضة بالصوكمة 
وإدارة المخاطر والامتشال G۸١‏ التي تمت مناقشتها في فصول أخرىء فإنه ينبغي على 
إدارة المؤسسة العمل مع عمليات تشغيل تقنية المعلومات لذيها لمعرفة ما إذا كانت 

ا معايير ا مناسبة الخاصة بالرقابة الداخلية لا تزال موجودة ومعمولاً بها في البيئة الافتراضية. 

فبالنسبة للكثيرين رها يكون هناك حاجة لنظم إضافية في مراكز البيانات الافتراضيةء سواء 

كان ذلك لتعويض القصور ا موجود في نظم إدارة مراكز البيانات والبيئات الافتراضية المعمول 

بها حالياً أم لفرض وتطبيق سياسات إضافية يتطلبها هذا ا مجال. 

لقد وُجدت البيئة الافتراضية هنا لتبقى. لذلك إذا كثفت إدارة تقنية المعلومات من 
تبنيها للخوادم الافتراضية في مركز البيانات الخاصة بهاء فإنه يجب عليها أن تأخذ بعين 
الاعتبار آثار استخدام تلك الخوادم الافتراضية على الضوابط الداخلية للأعمال والتي تتضمن 

ما يلي: 

٠‏ تطبيق المعايير والعمليات ا معمول بها حالياً في الفضاء الافتراضي أينما أمكن: من 
المحتمل أن تحتاج المعايير والعمليات المعمول بها حالياً إلى تعديلات» ولكن مع التأكيد 
على وضعها موضع التنفيذ لتبدأ بتقديم الرؤية والرقابة المطلوبة بالإضافة إلى التبصر فيما 
هو ضروري ومطلوب من نظم إدارية إضافية. 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات 0 


الفصل التاسع 


٠‏ وضع ال معايير والعمليات الجديدة التي تحتاج إليها تلك التقنية: ينبغي على المؤسسة 
أن تزيد من مستوى رقابتها إلى ما هو أبعد من ذلكء وعلى الأقل يجب أن تشتمل هذه 
الأمور على: 

- المراقبة والتبليغ. 

- التحكم في التزويد التقني. 

- إدارة هوية الجهاز الافتراضي. 

- ضبط تنقلية الأجهزة الافتراضية لفرض الفصل بين البيانات. 
- إصلاح الأجهزة الافتراضية عند انتهاء العمر الافتراضي لها. 

٠‏ الأقمتة قدر الإمكان: إن العمليات اليدوية ليست متناغمة وتحتاج إلى المزيد من الوقت 
لإتمامها. لذا سنجد في نهاية المطاف أن الطريقة الوحيدة لإعادة التوازن لنموذج الحوكمة 
وإدارة المخاطر والامتثال 610 هو زيادة مستوى التشغيل الآلي عن طريق تطبيق نظم 
إضافية جديدة يحتاج إليها هذا المجال. وهذا سيكون له تأثير إضافي من أجل الحد من 
النشاط والعمليات اليدوية» وزيادة الضوابط الداخليةء وتقليل المخاطرء إضافة إلى توفير 
كميات كبيرة من الوقت المستهلك في العمليات الإدارية. 

٠‏ مراجعة البنية الأمنية لديك: لكي نكون أكثر كفاءة وفاعلية» فإن العديد من أنواع 
الأجهزة الأمنية والأدوات الرقابية التي نود أن نعرف ما الذي تقوم بحمايته هذه الأجهزة 
وأين يكونء وكذلك حركة الأجهزة الافتراضية؛ كل ذلك قد يكون محل جدال. وقد 
يفرض التغيير المستمر الموج ود في البيئة الافتراضية مطالب حيوية ديناميكية على أي 
نوع "ثابت" من أنواع الحلول الأمنية وحتى في البنى التحتية للبيئات الافتراضية الصغيرة. 
خلاصة القول هي: أن بعض البنى التحتية الأمنية لن تعمل جيدا ف البيئة الافتراضية. 
ورا يكون المنتج الأمنيء غير القادر على العمل جيداً على مستوى جميع الأهداف 
والممارسات: غير قادر أيضا على العمل مطلقا. 

٠‏ تطبيق معايير تدقيق ومعايير داخلية محددة (ونظم إبلاغ) تناسب الفضاء الافتراضي: 
فكما وضحنا سابقاء إن البيئة الافتراضية تحتاج إلى سياسات وممارسات ومعايير رقابية 


۳۹ دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


حوسبة سحابية وافتراضية وحوسبة محمولة متنقلة 


جديدة. وعند دخولها حيز التنفيذ ستحتاج أيضاً إلى رقابة داخلية» وعمليات تدقيق» 
وإجراءات جديدة مناظرة لها. فعلى سبيل المثالء تحتاج التطبيقات الممتثلة لقانون :50 
إلى أن تكون مفصولة عن النظم الأخرىء وتحتاج أيضاً إلى تطبيق ضوابط أكثر صرامة 
على عمليات الوصول للبيانات. إلا أن التنقلات الطبيعية للخوادم الافتراضية أسهمت في 
إضافة عامل جديد إلى عملية التدقيق وهو: هل تم انتقال هذا الجهاز الافتراضي إلى أحد 
الخوادم الإضافية خلال الفترة الزمنية المخصصة لعملية التدقيق؟ إذا كان هذا قد تم 
فما الأجهزة الافتراضية الأخرى التي كانت موجودة على هذا الخادم؟ 
وكما يحدث عادة مع أي تقنية جديدة تخص تقنية ال معلومات» قد يتسبب تركيب 
برمجيات البيئة الافتراضية وكذلك التغييرات الكبرى في إحداث بعض التحسينات الجوهرية 
على مستوى كفاءة العمليات. على أي حال فإن إدارة تقنية المعلومات هي من تقوم غالباً 
بتنصيب تلك الأدوات الجديدة, غير أنها تتجاوز غالباً مستوى فهم الإدارة العامة العلياء لذا 
يجب أن يحصل كبار المديرين» على جميع المستويات» على فهم عام حول نشاطات البيئة 
الافتراضية في مؤسساتهم. 
يوضح الشكل التوضيحي )١-۹(‏ قائمة ببعض الممارسات الجيدة لحوكمة تقنية 
المعلومات في البيئة الافتراضية لإحدى المؤسسات التجارية التقليدية. إذ يجب أن تساعد 
هذه الممارسات المدير الأول على فهم الكيفية التي من خلالها يتم تطبيق البيئة الافتراضية 
في المؤسسة. 
لقد بدأ العمل بالبيئات الافتراضية في معظم مراكز البيانات على أنه جهد تخطيطي» 
قاده قسم تقنية المعلومات» وقد ركز وقتها على مسألة الفوائد العائدة من الاستثمارات 
1 الخاصة بعملية دمج الخوادم. لكن الانتقال من تكامل الخوادم الذي كان يتم 
لتحقيق غرض معين إلى البيئة الافتراضية أدى إلى المزيد من الاستخدامات في بيئة العمل 
الإنتاجية» وزيادة نسبة مراكز البيانات ذات البيئة الافتراضيةء كل ذلك يتطلب نظرة أكثر 
إستراتيجية حول مدى تأثير هذه البنية في إدارة مراكز البيانات والضوابط الخاصة بالأعمال. 
فوجود ممارسات وعمليات فعالة تتعلق بالبيئة الافتراضية سيضمن قدرة المؤسسة على 
تحسين القيمة الإجمالية لهذه التقنية. 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات لك 


الفصل التاسع 


شكل توضيحي (۲-۹) 


الممارسات الجيدة لحوكمة تقنية المعلومات في البيئة الافتراضية 


٠‏ التأكد من أن جميع الأطراف المتأثرة تدرك مزايا وعيوب البيئة الافتراضية: قبل انتقال تقنية 
المعلومات من النظم الفعلية القدهة إلى النظم الافتراضية» أو القيام بإضافة مجموعة جديدة من 
الخوادم الافتراضية لتنفيذ أعباء أعمال محددة: فإنه ينبغي على إدارة تقنية ا معلومات والإدارة أن 
يتأكدوا من فهمهم للقيود والحقائق المتعلقة بالبيئة الافتراضية من حيث استخدامات وحدة المعالجة 
المركزية والذاكرة ومجمل الضوابط الخاصة بحوكمة تقنية المعلومات. 

٠‏ تحديد الأولويات لإدارة النظم الافتراضية وتصحيحها وأمنها: أي وضع قيود على عملية انتشار 
الأجهزة الافتراضية. وتشمل جميع الأجهزة الافتراضية الموجودة في حزم تقنية المعلومات» والإدارة. 
والبنى التحتية الخاصة بسياسات الأمن. 


٠‏ التعامل مع النظم الافتراضية كما لو كانت نظماً فعلية في معظم الأحوال: بشكل عام فإنه يجب 
ألا تعامل النظم الافتراضية كما لو كانت مختلفة عن أي من النظم الفعلية. لذا يجب أن يتم تطبيق 
النظم الافتراضية وفقاً لمجموعة معرفة على نحو جيد من البيانات الخاصة بسياسات وممارسات 
الحوكمة والتي صُممت بالشكل الذي يضمن أن بيانات النظم الافتراضية: 


« يمكن الوصول إليها: بمعنى أنه يجب أن يتمكن مستخدمو النظم الافتراضية من الوصول إلى 
البيانات التي يحتاجون إليها وبالصيغ التي تتوافق مع متطلباتهم. 

و آمنة: تماماً كما هو الحال بالنسبة لجميع التطبيقات الاعتيادية. فقط الأشخاص المصرح لهم هم 
الذين يجب أن يُسمح لهم بالوصول إلى بيانات النظم الافتراضيةء أما الأشخاص غير المصرح لهم 
بذلك فيجب أن يتم منعهم من الوصول إلى تلك البيانات. 

0 متطابقة ومتناغمة: عندما يقوم اثنان من المستخدمين بالبحث عن البيانات نفسهاء يجب أن 
يتم ترشيد "نفس" البيانات في إصدارات متعددة بصورة منتظمة. 

« عالية الجودة: يجب أن تكون البيانات الصادرة عن تطبيقات البيئات الافتراضية دقيقة ومتطابقة 
لتلبية معايير تقنية المعلومات المعمول بها. 

ه قابلة للتدقيق: يجب أن يكون في البيئة الافتراضية مسارات واضحة تشير إلى مصادر البيانات» 
ورؤية واضحة لأصل هذه البيانات» وضوابط تدل على أن إدارة تقنية المعلومات تعلم من الذي 
يستخدم هذه البيانات وما الغرض من استخدامها؟ 





۳۸ دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


حوسبة سحابية وافتراضية وحوسبة محمولة متنقلة 


٠‏ توظيف إجراءات نسخ احتياطي قوية للتطبيقات: إن عمل نسخ احتياطية لكامل الجهاز الافتراضي 
يحتاج إلى وقت أكبر ويعطي القليل من الخيارات فيما يتعلق بعملية الاسترجاع السريع للنظم. ومع 
ذلك فإنه يجب أن تقوم إدارة تقنية المعلومات بعمل نسخ احتياطية وبشكل منتظم من تطبيقات 
البيئة الافتراضية تماما كما لو كان يقوم بحماية النظم الفعلية ذات المهام الحساسة» والتأكد من قدرة 
إدارة تقنية المعلومات على تنفيذ عمليات التعافي السريعة وزيادة الثقة بالتطبيقات كذلك. 


٠‏ التخزين المركزي للنظم: السبب الرئيسي وراء زيادة الأجهزة الافتراضية غالباً هو انتشار أجهزة 


الخوادم المضيفة الفعلية في جميع أنحاء المؤسسة. لذلك وفي ظل وجود النظم الافتراضية» فإن عملية 
نسخ كامل لنظام الضيف (أو الاثنين) سهلة جد وإن هذه السهولة هي السبب الرئيسي في تزايد 
الأجهزة الافتراضية وكذلك النتيجة المحتملة لفقدان البيانات. فإذا عجزت إدارة تقنية المعلومات عن 
تأمين الأجهزة الافتراضية التي لديها » فلا بد أن يكون لديها أقراص مشفرة حقيقية أو افتراضية لضمان 
عدم فقدان البيانات السرية. فعندما تقوم بوضع أجهزة الخوادم المضيفة الافتراضية الخاصة بك 
والوحدات التخزينية في أماكن مركزية آمنةء فإن إدارة تقنية المعلومات ستتمكن من الحد من تزايد 
الأجهزة الافتراضية وكذلك احتمالية فقدان البيانات. 





قضايا حوكمة الهواتف الذكية وأجهزة تقنية المعلومات المحمولة: 

يستخدم الناس هذه الأيام وعلى اختلاف مستوياتهم أجهزة الهواتف الذكية والحاسبات 
اللوحية لممارسة النشاطات الشخصية وامنزلية الخاصة بهم. وقد بدأ ذلك على شكل 
هواتف خلوية شخصية صغيرة وتطور الأمر على مر السنين إلى أجهزة قادرة على الاتصال 
بالإنترنت» وإرسال الرسائل النصية» والتقاط الصور وإرسالها وما هو أكثر من ذلك بكثير. 
يمتلك الحاسب اللوحي 16ا٠1‏ الإمكانيات الموجودة في الحاسب الشخصي امحمول Laptop‏ 
باستثناء لوحة المفاتيح الأكار سياه فاخا ات الا امك كبا واشف:وزنا:وقادرة 
بالأساس على العمل كما لو كانت + ذكية. وعلى الرغم من الميزات القوية والعديدة 
الموجودة في تلك الأجهرة فإنها تخت تسيا ذات فة أقل. وقد أضبحت أجهزة شخصية 
تستخدم من قبل العديد من العائلات ومن ضمنهم الأطفال الصغار. وقد أشرنا في هذا 
القسم إلى جميع هذه النظم باسم الأجهزة المحمولة وع»06931 2201614 سواء كانت 
هواتف ذكية» حاسبات لوحية: أجهزة تخزين صغيرة 1158 أم غيرها. 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات ۳۹ 


الفصل التاسع 


منذ عدة سنوات ليست بالكثيرة لم تكن هذه الأجهزة المحمولة مستخدمة في أماكن 
العمل. إلا أن المؤسسات قد قامت بتشجيع الموظفين الرئيسيين لديها باستخدام أجهزة 
الحاسبات الشخصية المحمولة وهامة1 وقامت بإصدار روابط آمنة لتمكنهم من الوصول 
إل اتخات الرمكية الخاضة باللؤمسلة. “فقلا عن أن تلك الكاسيات الشخصية اللحمولة 
05 كانت تعار للموظفين ليقوموا باستخدامها لأغراض العمل فقطء أما الاستخدامات 
الشخصية لها فقد كانت غير محبذة ولا ينصح بهاء وكان الموظفون يقومون بإعادة تلك 
الأجهزة إلى إدارة تقنية المعلومات بعد رحيلهم. 

إن الاستخدام الشخصي للموظفين للهواتف الذكية والأجهزة اللوحية هذه الأيام قد 
يثير بعض القضايا المتعلقة بحوكمة تقنية المعلومات. فعلى سبيل المثالء تمتلك هذه 
الأجهزة عموماً ميزة الكاميرا الرقمية المدمجة فيها. وبالتأكيد يمكن أن يثير هذا الأمر مسألة 
أمنية على اعتبار أن الموظف يستطيع بسهولة التقاط صور لوثائق مهمة ومن ثم نقلها 
واستخدامها لأغراض غير مشروعة. فعلى الرغم من القوانين الصادرة والتي تمنع مثل تلك 
الممارسات» فإن المؤسسة في الواقع لا تستطيع منع مثل تلك الممارسات المتعلقة بالتصوير 
الداخلي بالرغم من التصريحات السياسية القوية ضد أنشطة كهذه. وكذلك الأمر بالنسبة 
لأجهزة التخزين الصغيرة 1158 المستخدمة من قبل العديد أيضاً والتي هكن توصيلها بأحد 
أجهزة الشركة لأخذ معلومات هامة وحساسة. 

ترتبط العديد من المخاوف اللتعلقة باستخدام الأجهزة المحمولة في أماكن العمل بالأمن 
المؤسسي. فالمؤسسة ستكون مضطرة للسماح لأشخاص أساسيين للقيام بالاتصال بشبكات 
البيانات والتي تعد جزءاً من مسئوليات عملهم. فضلاً عن أن هناك حاجة لتنصيب برامج 
الجدران النارية والبرامج المضادة للفيروسات والأدوات البرمجية للراقبة الأمن على أي جهاز 
نقال سوف تُعطي له صلاحية الوصول للنظم الشبكية المؤسسية. ونظراً لكثرة أنواع الأجهزة 
الموجودة في المؤسسة واختلاف أنواعهاء فلن تستطيع المؤسسة ضبط عملية إصدار أجهزة 
كهذه. إلا أنها يجب أن تمتلك مجموعة من المعايير المثبتة واللازمة لضبط استخدام الأجهزة 
النقالة قبل السماح لها بالوصول إلى بيانات الشركة. 


1۰ دليل امستول التنفيذي لحوكمة تقنية ا معلومات 


حوسبة سحابية وافتراضية وحوسبة محمولة متنقلة 


الشكل التوضيحي (۳-۹) يعد مثالاً على سياسة الشركة فيما يتعلق باستخدام الأجهزة 
المحمولة من قبل الموظفين وأصحاب المصالح ف بيئات العمل. يجب أن يتم إبلاغ جميع 
الموظفين الجدد بمثل هذه السياسة إلى جانب مطالبتهم بقبولها بشكل رسمي. ولأن التقنية 
دانمة التغير. فمن الممكن أن تختلف اتجاهات وطبيعة الجهاز المحمول اليوم عما ستكون 
عليه غدا. لذلك فإن هذا النوع من بيان السياسة يجب أن يُعدل ويُعاد إصداره بشكل دوري 
ومنتظم مع ضرورة مطالبة المتلقين لتلك السياسة بالإفصاح عن فهمهم وقبولهم لتلك السياسة 
المنقحة. يجب أن تستخدم العناصر الأساسية في هذه السياسة الخاصة بالأجهزة المحمولة من 
قبل الإدارة والتدقيق الداخلي على أنها جزء من مراجعاتهم المنتظمة للرقابة الداخلية. 
شكل توضيحي (۳-۹) 
سياسة استخدام الموظفين وغيرهم من أصحاب المصالح للأجهزة المحمولة 

مقدمة: إن استخدام الأجهزة المحمولة في بيئات عمل شركتنا في ازدياد. وهي تقدم خدمات الأجهزة 

النقالة والاتصال المستمر بالأجهزة النقالة للعاملين. ونظراً لحقيقة أن الأجهزة المحمولة تكون غالباً 

ممتلكات شخصية لأصحابها. فهي تشكل تهديدات جديدة لأصول الشركة. وتشمل الأجهزة ا محمولة 

التي تحمل تحديات أمنية كلا من الحاسبات الشخصية المحمولة ووحدات التخزين المتحركة (مثل 

جهاز 058) والهواتف الذكية والحاسبات اللوحية وغيرها من الكاميرات. 

الغرض والنطاق: تضع هذه السياسة الأمنية قواعد تتعلق بالاستخدام الصحيح للأجهزة المحمولة 

في جميع أنحاء الشركةء وذلك من أجل حماية سرية البيانات الحساسة: وسلامة كل من البيانات 

والتطبيقات» وإتاحة خدمات شركتنا. إن هذا من شأنه أن يحمي الأجهزة المحمولة ومستخدميها 

بالإضافة إلى أصول الشركة (سريتها وسلامتها) واستمرارية الأعمال (إتاحتها). 

وتطبق هذه السياسة على جميع الموظفينء والاستشاريينء وا موردين» والمقاولين والطلاب وغيرهم ممن 

يستخدمون الأجهزة ا محمولة النقالة الخاصة أو المرتبطة بالأعمال داخل أي مبنى من مباني شركتنا. 


إن الالتزام بهذه المتطلبات وبالسياسات الأمنية المنبثقة منها والأحكام التنفيذية يعد أمراً ملزماً في جميع 
أنحاء شركتنا وفروعها وغالبية ممتلكاتها. و يعتبر التعدي المقصود على هذه السياسات أو الإهمال فيها 
تهديذاً لمصالح شركتنا وسيؤدي إلى عقوبات صارمة وظيفية كانث أو قانونية أو كليهما معا وستطبق أيضاً 
هذه الشروط والسياسات الأمنية المنبثقة منها والأحكام التنفيذية على جميع الموردين التابعين لشركتنا. 





دليل المسئول التنفيذي لحوكمة تقنية المعلومات لمق 


الفصل التاسع 


الأدوار والمسؤوليات: إن جميع الموظفين وأصحاب المصالح مسؤولون عن التقيد بهذه الأحكام 
الأمنية. وقد تم توثيق ال مهام المحددة عند تعريف الأدوار. ويجب تحديد شخص بالاسم لكل دور من 
هذه الأدوار وأن يكون معروفا بالنسبة لإدارة أمن تقنية المعلومات. 


المسؤوليات المتعلقة بحوكمة تقنية المعلومات: 
٠‏ أصحاب وحدات الأعمال: ضمان تزويد إدارة تقنية المعلومات بالمصادر الضرورية. 
٠‏ إدارة تقنية المعلومات: المحافظة على السياسات الأمنية: 
- مسؤولة عن إيجاد سياسات أو تبني السياسات المعمول بها وصيانتها بلواكبة العصر. 
- تُطبق التوجيهات والإجراءات اللازمة لتنفيذ هذه السياسة وتقوم بتبليغها للأشخاص المعنيين. 
- تضمن أن جميع الإجراءات القابلة للتطبيق موثقة وتم إيصالها بشكل جيد. 
- مسؤولة عن فرض السياسة وضمان أن المستخدمين قد تلقوا التدريبات الملائمة. 
٠‏ إدارة أمن تقنية المعلومات: مسئولة عن إدارة جميع الأجهزة المحمولة النقالة التي يتم إصدارها: 
- تقوم بإدارة مستودع الأجهزة المحمولة ا مسجلة. 


- تضمن أن الخدمات الضرورية متاحة للمستخدمين وتقوم بتقديم الموارد الضرورية لاستخدام 
تلك الخدمات. 


- مسؤولة عن فرض السياسة: 
ومن ا ال اا 
ه تقديم طلبات تتعلق بالتغيرات الضرورية في هذه السياسة لدعم حوكمة تقنية ا معلومات. 


٠‏ المستخدمون وغيرهم من أصحاب المصالح: يجب على موظفي المؤسسة وأصحاب المصالح أن 
يقوموا بقراءة هذه السياسات الأمنية وفهمها والموافقة عليهاء ويجب عليهم أيضا إعلام إدارة تقنية 
المعلومات با مخالفين لهذه السياسات الأمنية. 





ملاحظة: 


1. SAS 70, “Service Auditors Reports,” http://sas70.com/sas70_reports.html 


1۲ دليل امستول التنفيذي لحوكمة تقنية ا معلومات 


الفصل العاشر 
الحوكمة وإدارة أمن تقنية المعلومات وإدارة الاستمرارية 


تعد العمليات الفعالة والخاصة بإدارة أمن تقنية المعلومات واستمراريتها من العناصر 
الهامة للحوكمة الشاملة لتقنية المعلومات المؤسسية. إن أمن تقنية المعلومات مصطلح 
واسع» فهو يشير إلى العمليات والضوابط اللازمة لحماية كل من النظم والبيانات الخاصة 
بتقنية المعلومات بالإضافة إلى الأصول المادية في المؤسسة من مجموعة واسعة من التهديدات 
المحتملة. ففي عالنا اليوم القائم على الإنترنت» إضافة إلى ا مخاطر القادمة من أشخاص من 
جميع أنحاء العام را يكونو مُولعين بالوصول غير المشروع للأنظمة ا مؤمنةء أصبحت قضية 
أمن تقنية المعلومات الآن تحظى بالاهتمام بل وتزايد الاهتمام بها أكثر من أي وقت مضى. 
لذا فإن المؤسسات تحتاج إلى تطبيق عمليات فعالة خاصة بأمن تقنية المعلومات للتحكم 
في أصول تقنية المعلومات الخاصة بها وضبطها. 

وعلى الرغم من أهمية عمليات الأمن الموضوعة لحماية الأصول الخاصة بتقنية المعلومات 
من الأشخاص غير المصرح لهم» فإن عمليات التشغيل الخاصة بتقنية المعلومات أيضاً تواجه 
تهديدات من مخاطر مثل: اندلاع حريق في أحد المرافق أو كوارث طبيعية» أو أعطال 
المعدات. وقد كان يعرف هذا المجال الخاص بالمخاوف المتعلقة مخاطر تقنية المعلومات 
بالتخطيط للتعافي من كوارث تقنية المعلومات عمتصصدام disaster recovery‏ 11 وذلك في 
الأيام الأولى لظهور تقنية المعلومات عندما كانت نظم الحاسبات المركزية 26نة5ن12 
هي المهيمنة» أما اليوم فهي بشكل عام تسمى تخطيط استمرارية تقنية المعلومات 
continuity planning‏ 11. لذا يجب على المؤسسة امتلاك الموارد اللازمة لعمل 
النسخ الاحتياطية. سواء كانت لمعدات أم لبرمجيات» وذلك لاستمرار العمليات 
التشغيلية ال منتظمة والمجدولة في حال حدث أي انقطاع غير طبيعي لها. 

يناقش هذا الفصل السؤال التالي: لماذا يعد وجود عمليات معمول بها لأمن واستمرارية 
تقنية المعلومات أمراً في غاية الأهمية بالنسبة للحوكمة الفعالة لتقنية المعلومات؟ تكون 
العمليات الفعالة لتخطيط أمن واستمرارية تقنية المعلومات معقدة غالباً وتحتاج إلى 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات م 


الفصل العاشر 


مهارات المتخصصين. لذا يجب على المدير الأول الذي يعمل على توجيه ومراجعة حالة 
جميع عمليات حوكمة تقنية المعلومات أن يتفتع بقدر معين من المغرفة الأساسية نوعاً ها 
لبعض الأدوات والإجراءات الفعالة المستخدمة في هذا المجال. ومع أن كلاً من هذه الأدوات 
والإجراءات يعتبر من المجالات المتخصصة: فإنها أيضاً تعتبر من العناصر الهامة والضرورية 
للحوكمة الشاملة الفعالة لتقنية المعلومات في المؤسسة. 


أهمية البيئة الفعالة لأمن تقنية المعلومات: 

لقد تغير مفهوم أمن تقنية المعلومات كثيراً على مر السنين وأصبح أمراً أكثر تعقيداً. 
فبالعودة إلى عصر نظم الحاسبات المركزية» كنا نعتقد أن أمن تقنية المعلومات لا يتعدى 
أنظمة بسيطة لكلمة المرور ووضع أقفال على أبواب مركز الحاسب. وقد كان من المهم 
في ذلك الوقت أن تكون أصول تلك النظم محمية ويتم عمل نسخ احتياطية لها بشكل 
متكرر. وكانت تقع مسئولية تلك العمليات على عاتق وحدة أو إدارة عمليات تشغيل 
تقنية المعلومات مع تدخل محدود من قبل الإدارة العامة. 

أما في هذه الأيام» وفي ظل تكرار النشرات الإخبارية حول تلك الأحداث المتعلقة بتقنية 
المعلومات كسرقة ملفات النظم الحاسوبية الخاصة بالبطاقات الائتمانيةء أو إفشاء ما هو 
من المفترض أن يكون ملفات لرسائل سرية خاصة بنظام الحاسبء أصبحت قضايا أمن 
تقنية المعلومات مسألة هامة بالنسبة للعديد من أعضاء فريق تقنية المعلومات والإدارة 
العامة للمؤسسة. وعلى الرغم من أن قضية أمن تقنية المعلومات كانت دائماً ومنذ الأيام 
الأولى مصدر قلقء فإن مجال المخاطر هذا أصبح مصدر قلق أكثر من ذلك بكثير في عاط 
اليوم الذي يحوي كماً هائلاً من اتصالات الإنترنت وكذلك الاعتماد المتزايد على إستراتيجيات 
الحوسبة السحابية. يكون التدقيق الداخلي والإدارة العليا في المؤسسات غالباً هم الأطراف 
المعنية بالقراءة عن الخروقات الخاصة بأمن تقنية المعلومات التي تحدث في مكان آخر 
وسؤال كل من المدير التنفيذي للمعلومات Information Officer (C10)‏ 01161 ومدير 
التدقيق الداخلي Audit Execu†]۷e )C۸۴(‏ )علطن ومدققي تقنية المعلومات حول 
المسائل المتعلقة بأمن تقنية المعلومات في المؤسسة. 
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تعد المخاوف المتعلقة بأمن تقنية المعلومات من بين القضايا الرئيسية والهامة التي 
تؤثر في كل من الإدارة العامة وإدارة تقنية المعلومات. وللحصول على ضمانات كافية 
حول امتلاك أمن فعال لتقنية المعلومات» فإن المؤسسة بحاجة إلى تأسيس وبناء بيئة قوية 
ومدارة بشكل جيد لأمن تقنية المعلومات. وتعد هذه المهمة مسئولية إدارة عمليات 
تشغيل تقنية المعلومات وإدارة المؤسسة على جميع المستويات. فإدارة تقنية المعلومات 
تستطيع المساعدة في هذه العملية من خلال تطبيق ضوابط داخلية فعالة وسياسات 
وإجراءات أمنية قويةء وكذلك من خلال العمل مع جميع المستويات في المؤسسة لخلق 
بيئة أمنية فعالة. 

سوف يركز هذا الفصل على بناء بيئة فعالة لحوكمة أمن تقنية المعلومات وذلك من 
ثلاثة منظورات: المنظور الأولء هو أن هناك حاجة لوضع بعض المبادئ القوية الخاصة 
بأمن نظم تقنية المعلومات: مثل المبادئ التي تمت مناقشتها في الفصل الخامس من هذا 
الكتاب والذي يدور حول الكوبت» أو تطبيق معايير الأيزو ا مناسبة التي تناولنا الحديث 
عنها في الفصل السابع أا من هذا الكتاب. إذ يمكن أن تلعب هذه المبادئ ورا ا 
في المساعدة على تأسيس بيئة فعالة لأمن تقنية امعلومات. 

أما في ما يخص المنظور الثاني» فهناك حاجة ماسة لتأسيس أمن فعال بلحيط تقنية 
المعلومات, وذلك في أي عة تقرهها من عمليات العمتغيل الخاصة فة [العلومات: 
فعلى الرغم من أن المخاطر التي كانت تواجه عمليات تشغيل الحاسب التي كانت تتم 
مركز مغلق أيام الحاسبات المركزية أقل بكثير من المخاطر التي تواجه عمليات التشغيل 
اليوم» فإن ا مخاطر الأمنية تعد أكبر بكثير في البيئات الخاصة بالتجارة الإلكترونية المعتمدة 
على شبكة الإنترنت. وسنتحدث عن بعض الضوابط الأمنية الخاصة محيط تقنية المعلومات 
التي ينبغي أن تسهم في التحسين من عمليات حوكمة تقنية المعلومات في تلك المجالات. 

أما بالنسبة للمنظور الثالث» فسوف نناقش من خلاله أهمية وضع إستراتيجية أمنية 
فعالة على مستوى المؤسسة. تماماً مثل مدونة قواعد السلوك للموظف التي تضع 
مجموعة من القواعد الرفيعة المستوى لجميع أصحاب المصلحة في المؤسسة. فالإستراتيجية 
الفعالة لأمن تقنية المعلومات هي التي تقوم بتأسيس بعض القواعد المتعلقة بأمن تقنية 
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المكلؤمانة. لذ مك الل عراقيجية الأمقرة التقكة اللكلؤماك المبيمة والطيقة عان فكو 
جيد أن تسهم في تحسين العديد من الجوانب الخاصة بعمليات التشغيل في اممؤسسة. 
كما ينبغي على إدارة تقنية المعلومات أن تكون على دراية بأفضل أو أجود الممارسات 
الفعالة في هذا المجال؛ وأن تقوم باستخدام تلك الممارسات لتأسيس بيئة فعالة لأمن تقنية 
المعلومات. 


مبادئ أمن تقنية المعلومات في المؤسسة: المعايير الأمنية المتفق عليها: 

إن العديد من كبار المديرين اليوم على علم ها يعرف بالمبادئ المحاسبية المقبولة قبولاً 
عاماً Genera Accepted Accounting Principles (GAAP)‏ سواء كان ذلك من خلال 
أعمالهم الخاصة أو اتصالاتهم مع المديرين الماليين في ا مؤسسة أو مع مدققيهم الخارجيين. 
وعلى الرغم من أنه استَبْدل اليو بتلك المبادئ (0447) معاي محاسبية دوليةء فإنها تعد 
بمثابة قواعد غير رسمية تستخدم من قبل العديد من المديرين الماليين ومدققيهم الخارجيين 
لتقييم الممارسات ال محاسبية في المؤسسة» ومن ثم القيام بإعداد القوائم المالية الخاصة بها. 
فهي ليست قواعد محددة على شكل نقاطء إنما هي عبارة عن مجموعة من الممارسات 
الجيدة والعامة التي استخدمت من قبل المدققين الخارجيين على مر السنين. 

الوت خافن لليادة اة وة ول عام A48‏ 16 فام العديل من 
إدارات تقنية ا معلومات المؤسسية بتطبيق ما يعرف بمبادئ أمن النظم المقبولة قبولاً عاماً 
Generally Accepted System Security Principles (GASSP)‏ كمجموعة من أفضل 
الممارسات لتطوير عمليات ومعايير فعالة في أمن تقنية المعلومات. 64557 هي عبارة 
عن مجموعة متفق عليها من المبادئ والمعايير والأعراف والآليات المتعلقة بأمن تقنية 
المعلومات التي يجب أن توظف من قبل الممارسين لقضايا أمن تقنية المعلومات» والتي 
يجب أن تحققها المخرجات الناتجة عن معالجة المعلومات, والتي يجب أن يقر بها أصحاب 
المعلومات لضمان أمن المعلومات وأمن نظم تقنية المعلومات الخاصة بهم. تتعلق 4557© 
بأمن المعلومات المادية والتقنية والإدارية. كما تشتمل على مبادئ أمنية تفصيلية ووظيفية 
واسعة ومتعارف عليها. تشير 68557 إلى سلسلة من القواعد والإجراءات والممارسات 
التي تتعلق بتطبيق الممارسات الفعالة لأمن تقنية المعلومات في ا مؤسسة. ومن المتوقع 
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أن يتطور هذا المفهوم الخاص بمصطلح 68558 وفقاً للتغيرات السريعة والمستمرة في 
التقنيات الخاصة بتقنية المعلومات. 

تعود أصول هذه المبادئ المقبولة قبولاً عاماً في أمن معلومات النظم 64558 إلى عام 
٠١‏ عندما قام مجلس البحوث الوطني الأمريي بإصدار كتاب أحدث تحولاً بارزاً بعنوان 
"الحاسبات عرضة للمخاط "^ c0mputers at Risk (CAR)‏ وقد ركز هذا الكتاب على 
أن الولايات المتحدة الأمريكية بحاجة ماسة إلى أن تركز اهتمامها بشكل أفضل على أمن 
المعلومات. وقد وُجدت 08558 لتكون نتيجة مباشرة لإحدى التوصيات الرئيسية التي 
حَاءت من فشر هذا الكتاب (6439):وقد:دعة تلك التوصية إل تظوير مجموغة شاملة من 
المبادئ المقبولة قبولاً عاماً في أمن النظم والتي من شأنها أن تقدم تعريفاً واضحاً للسمات 
والضمانات والممارسات الأساسية الخاصة بأمن تقنية المعلومات. كما اقترح كتاب °۸۴ 
استخدام 0847 نموذجا يُقتدى به في وضع 64557 كما استشهد أيضاً بالصياغة الخاصة 
بالقواعد والمعايير المستخدمة من قبل مختبرات ضمان المواصفات'" Underwriters‏ 
Laboratories‏ بأنها أمثلة على 64557 في مجالات أخرى. 

يعد الاتحاد الدولي لاعتماد أمن نظم المعلومات!"' International Information‏ 
Systems Security Certification Consortium (ISC)‏ من المنظمات المهنية الأخرى 
الرائدة في أمن تقنية المعلومات والتي قامت بتطوير 64557 في نسخته الحالية (الإصدار 
الثاني 2.0 ١٥ءإ۷)‏ والتي تم إطلاقها في عام 77591". وكما يدل عليها اسمهاء فهي عبارة 
عن المبادئ المقبولة قبولاً عاماً أو المتعارف عليهاء الأمر الذي يعني أنها تستخدم المفاهيم 
الشائعة الاستخدام في وقتنا الحاضر لتأمين موارد تقنية المعلومات. إن المبادئ التي جاءت في 
الدراسة الخاصة بمفهوم 68557 ليست جديدة بالنسبة للعاملين في أمن تقنية المعلومات» 
ولكنها اعتمدت على افتراضات ينبغي تقريباً على كل شخص تطبيقها عند القيام بتطوير 
أو صيانة نظام أمن تقنية المعلومات. لذا يجب على مدير المؤسسة التي تسعى إلى تعزيز 
العملينات الأفئنة لتكون حجن[ :من 'الحوكمة القغالة فة اللعلومات: أن يكون على دراية 
مبادئ 6455۴ بوصفة مغيارا أو أسلوباً لتعزيز الأمن الفعال لتقنية:المعلومات: 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات ۴۷ 


الفصل العاشر 


المبادئ المتعارف عليها في أمن النظم والمقبولة عموما 64557: 
ترتكز 08557 على ثمانية مبادئ رفيعة المستوى هكن أن تستخدم من قبل الإدارة 

وأعصاسى أن تفش المكلومات اماد (ىفاغذة ليقوهوا اء امي التجلفة ناهن 

تقنية المعلومات عليها. وتهدف هذه المبادئ لأن تكون بمثابة دليل أمني يمكن استخدامه 
عند إنشاء نظم أو ممارسات أو سياسات جديدة. فهي م تصمم لإعطاء إجابات محددق 
بل يجب تطبيقها جملة واحدة وبشكل عملي ومعقول. وفيما يلي توضيح لكل من هذه 

المبادئ الثمانية الخاصة بمفهوم 6۸88۴. 

.١‏ يجب على أمن تقنية المعلومات دعم رسالة المؤسسة: إن الغرض من أمن تقنية 
المعلومات هو حماية الموارد القيّمة في المؤسسة كا معلومات والمعدات والبرمجيات. 
فمن خلال اختيار وتطبيق وسائل الحماية المناسبة» هكن للأمن أن يساعد المؤسسة 
على تحقيق رسالتهاء وذلك من خلال حماية مواردها المادية والمالية وسمعتها ووضعها 
القانوني و وغيرها من الأصول الملموسة وغير ا وللأسف فإنه يُنظر 
لأمن تقنية المعلومات في بعض الأحيان على أنه عائق في طريق تحقيق رسالة امؤسسةء 
وذلك من خلال فرض القواعد والإجراءات المرْهقة ا اا ھکل سيف عن 
المستخدمين والمديرين والنظم. ونتيجة لذلك فإنه يجب على إدارة تقنية المعلومات أن 
تكون على علم بأن القواعد والإجراءات الأمنية التي تم اختيارها بعناية لم تُوضع لحماية 
مصالحهم الخاصة. وإنما وضعت موضع التنفيذ لحماية الأصول الهامة ودعم الرسالة 
التنظيمية الشاملة للمؤسسة. 
ولذلك فالأمن يعد وسيلة للوصول إلى الغاية وليس غاية في حد ذاته. فعلى سبيل المثال» 

يكون للممارسات أو الإجراءات الأمنية المستخدمة عادةً دور ثانوي في عملية تحقيق الأرباح 

المؤسسية التي هي الهدف الرئيسي لأي مؤسسة. لكن يجب بعد ذلك أن يكون للأمن دور 
رئيسي في زيادة قدرة ة ا مؤسسة على تحقيق الأرباح. أما في مؤسسات القطاع العام فيلعب 

الأمن عادة ور ونا فيما يتعلق بالخدمات التي ڌ تقدمها المؤسسة للمواطنينء إلا أنه 
يتوجب على الأمن فيما بعد أن يلعب 5 أساسياً في تحسين هذه الخدمات العامة. لذلك 
فإن المديرين وأخصائيي الأمن بحاجة إلى فهم كل من الرسالة الشاملة للمؤسسة والكيفية 
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التي يمكن من خلالها أن يقوم كل نظام من نظم تقنية المعلومات بدعم تلك الرسالة. وبعد 
أن يتم تحديد أدوار تلك النظم» يمكن الإعلان صراحة عن تلك المتطلبات الأمنية الخاصة 
رسال اوس 
۴. أمن تقنية ا معلومات جزءٌ لا يتجزأ من الممارسات الإدارية الصحيحة: تكون نظم تقنية 
اللعلومات غالياً من الأصول الهامة التي تدعم رسالة المؤسسة. لذا فحماية تلك الأصول 
أمر لا يقل أهمية عن حماية الموارد الأخرىء مثل الأموال أو الأصول المادية أو الموظفين. 
من ناحية أخرىء فإن تضمين الاعتبارات الأمنية في إدارة نظم المعلومات وإدارة نظم 
تقنية ا معلومات لا يستبعد بشكل كامل احتمالية أن يتم الإضرار بهذه الأصول. في 
النهايةء يجب على الإدارة أن تقرر ما مستوى المخاطر المستعدة لقبولهاء مع الأخذ في 
الحسبان تكلفة الضوابط الأمنية. 
كما هو الحال مع غيرها من الموارد؛ فإن إدارة نظم المعلومات وإدارة نظم تقنية ا معلومات 
قد تتجاوز الحدود التنظيمية. فعندما تكون نظم معلومات ونظم تقنية المعلومات الخاصة 
با مؤسسة مرتبطة بنظم خارجيةء فإن مسؤوليات الإدارة ستمتد لتتجاوز حدود المؤسسة. وإن 
كلا من الإدارة وإدارة تدقيق تقنية المعلومات يجب أن يعرفوا ما مستويات أو أنواع الأمن 
التي يتم توظيفها على تلك النظم الخارجية» كما يجب أن يسعوا للحصول على ضمانات بأن 
النظام الخارجي يوفر الأمن الكافي لاحتياجات المؤسسة التابعين لها. 
.أن تقية المعلومات يجب أن يكون فعالاً من حنت التكلفنة: يعن هذا الأمرمن 
المبادئ الهامة لحوكمة تقنية المعلومات. وعليه فإنه يجب عمل دراسة للتكاليف 
والفوائد الخاصة بأمن تقنية المعلومات بعنايةء سواء من الناحية المالية أم غير المالية 
للتاكة من أن تكلفة الضوابط لن تزيد عن الفوائد المتوقعة. فأمن تقنية المعلومات 
يعن أن ايكون لاما وتنا كا مع قيمة ودرجة الاعتماد على نظم تقنية المعلومات 
وكذلك مع شدة واحتمالية ومدى الضرر المحتمل. كما أن المتطلبات الأمنية تتنوع 
اعتماداً على النظام المحدد لتقنية المعلومات. 
يجب أن ينظر لأمن تقنية المعلومات على أنه أحد الممارسات الذكية للأعمال. وأن 
الاستثمار الجيد في التدابير الأمنية للمؤسسة ممكن أن يساعد في التقليل من تكرار وشدة 
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الخسائر المتعلقة بأمن تقنية المعلومات. فعلى سبيل المثالء قد تقدر المؤسسة أنها تعاني 

من خسائر سنوية كبيرة في المخزون من خلال المعاملات الاحتيالية التي تتم في نظام تقنية 

المعلومات الخاص بمراقبة المخزون لديها. فباستخدام التدابير والإجراءات الأمنية امناسبة 
كالنظام المطور الخاص بضبط عمليات الوصول للبيانات» قد يسهم بشكل كبير في التقليل 
من هذه الخسائر. علاوة على ذلك فإن البرنامج الأمني السليم يمكنه إحباط محاولات 

القراصنة 1131615 والتقليل من تكرار الإصابة بالفيروسات. 
للفوائد الأمنية تكاليف مباشرة وغير مباشرة. حيث تشتمل التكاليف المباشرة على شراء 

وتركيب وإدارة التدابير والإجراءات الأمنيةء كبرامج ضبط الوصول إلى البيانات أو النظم 

المستخدمة لإخماد الحرائق في مرافق المؤسسة. هذا بالإضافة إلى أن استخدام التدابير 
والإجراءات الأمنية قد يؤثر في بعض الأحيان في أداء النظم وفي معنويات الموظفين وحتى 
في المتطلبات الخاصة بإعادة التدريب. فكل هذه الأمور يجب أن تُوْخذ بعين الاعتبار 
بالإضافة إلى التكلفة الأساسية الخاصة بالضوابط الأمنية لتقنية المعلومات نفسها. في كثير 
من الحالات» كما هو الحال بالنسبة لتكاليف إدارة حزمة ضبط الوصول للبيانات» هكن 
لهذه التكاليف الإضافية أن تتجاوز التكاليف المبدئية المخصصة للضوابط الأمنية. لذا 
يجب عدم اختيار الحلول الأمنية إذا كانت تكلفتها من الناحية المالية أو غير المالية أو 

ا مباشرة أو غير المباشرة ببساطة أكبر من تكلفة تحمل المشكلة. 

.٤‏ لدى أصحاب النظم مسؤوليات أمنية خارج مؤسساتهم: إذا كان للنظام مستخدمون 
من خارج المؤسسة: فإنه يقع على عاتق أصحاب هذا النظام مسؤولية مشاركة هؤلاء 
المستخدمين بالمعلومات ال مناسبة والضرورية المتعلقة بالتدابير الأمنية المستخدمة ومدى 
النطاق العام لهاء الأمر الذي يزيد مستوى الثقة لدى هؤلاء المستخدفين بأن نظامهم 
آمن بشكل كاف. ولا يعني هذا أنه يجب على جميع النظم تحقيق المستوى الأدنى من 
افق المعلومات وإنما يعني أنه يجب على أصحاب النظم إبلاغ عملائهم أو مستخدميهم 
بطبيعة وآلية أمن المعلومات المستخدمة لديهم. 
إن الاختلاف بين المسؤولية وا مساءلة المتعلقة بأمن تقنية المعلومات ليس واضحاً دائماً. 

بشكل عام نستطيع القول إن "المسؤولية" هي مصطلح أوسع يحدد الواجبات والسلوكيات 
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المتوقعة. إذ يدل مصطلح المسؤولية على الموقف الاستباقي من جانب الطرف المسؤول» 
وعلى العلاقة السببية بين الطرف المسؤول ونتيجة محددة. في حين يشير مصطلح "المساءلة" 
بشكل عام إلى قدرة تحمل الأشخاص للسؤولية أفعالهم. لذلك قد يكون الأشخاص مسؤولين 
عن أفعالهم دون أن يتعرضوا للمحاسبة القانونية عنها. على سبيل المثالء المستخدم المجهول 


الهوية الذي يقوم باستخدام أحد النظم يكون مسئولاً أن يتصرف وفقاً للمعايير المقبولة 

والمتفق عليهاء إلا أنه لا يكن مساءلته إذا قام بأي انتهاك للبيانات أو النظم» إذ لا مكن 

تتبع العمل المتسبب في الانتهاك الأمني الذي يقوم به شخص ما. 
يدل هذا المفهوم ضمنياً على أن الناس وا مؤسسات يتشاركون في المسؤوليات وا مساءلات 

المتعلقة بنظم تقنية امعلومات الخاصة بهم. فبالإضافة إلى مشاركة المعلومات المتعلقة 

بالأمنء يجب على مديري المؤسسات أن يتصرفوا في الوقت المناسب ويتخذوا الإجراء 

ا مناسب ممن الخروقات الأمنية والرد عليها لمساعدة الآخرين وحمايتهم من الضرر. فضلاً 

عن أن اتخاذ مثل هذا الإجراء يجب ألا يُعرض أمن النظم للخطر. 

.٥‏ المسؤوليات والمساءلات الخاصة بأمن تقنية المعلومات يجب أن تتم بشكل صريح: 
يجب أن تكون المسؤوليات والمساءلات الأمنية واضحة وصريحة» سواء أكانت تخص 
أصحاب ومقدمي ومستخدمي نظم تقنية المعلومات أم غيرهم من الأطراف المعنية 
بأمن نظم تقنية المعلومات. وقد يكون نطاق هذه المسؤوليات داخل المؤسسة أو خارج 
حدودها. حتى وإن كانت مؤسسة صغيرة فإنه يجب أن تقوم بإعداد الوثائق التي تحدد 
السياسات الأمنية والمسئوليات الواضحة لأمن تقنية المعلومات للمؤسسة. على كل حالء 
فلا يُقصد بهذا المفهوم وجوب مساءلات الفرد عن جميع النظم. فعلى سبيل ال مثالء لا 
تسأل العديد من نظم نشر المعلومات عن هوية المستخدم ولا تستخدم أياً من الوسائل 
التقنية الأخرى لتحديد هويته» ومن ثم لا يمكنها مساءلة ا مستخدمين. 

5 أمن تقدية المعلومات ينطلت نهجا شاملا ومتكاملاً:. إن توفير أمن فعال لتقنبة 
المعلومات يتطلب استخدام نهج شامل يأخذ بعين الاعتبار مجموعة متنوعة من 
المجالات الموجودة داخل وخارج مجال أمن تقنية اممعلومات» وتمتد طوال دورة حياة 
نظم المعلومات بالكامل. ولكي تعمل الضوابط الأمنية بفاعليةء فإنها تعتمد غالبا على 
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التوظيف السليم للضوابط الأخرىء إذ هناك العديد من الاعتمادات المتبادلة فيما بينها. 
فإذا تم اختيار الضوابط الإدارية والتشغيلية والتقنية بشكل سليم فيمكنها أن تعمل 
1 بصورة تعاونية. من ناحية أخرىء فإن عدم فهم المؤسسة للاعتمادات المتبادلة 
للمؤاكها الأجنة قن تشع حضوا کا فعلى سبيل ال مثال» عدم تلقي التدريب 
المناسب المتعلق بطريقة وزمن استخدام حزم برامج الكشف عن الفيروسات قد يجعل 
المستخدمين يطبقون هذه الحزم بشكل خاطئء ومن ثم يُصبح استخدام تلك الحزم غير 
فعال. ونتيجة لذلك قد يعتقد المستخدمون خطأ أنه إذا تم فحص النظام لمره واحدة 
فقط فإنه سيكون دايا خالياً من الفيروسات» ونتيجة لذلك الاعتقاد الخاطن رجا تنتشر 
الفيروسات بشكل غير مقصود. في الواقع» تكون تلك الاعتمادات المتبادلة أكثر تعقيداً 
ومن الصعب جداً التحقق منها. 
تعتمد فاعلية الضوابط الأمنية أيضاً على عوامل مثل إدارة النظم والقضايا القانونية, 
وضمان الجودة: والضوابط الداخلية والإدارية. كما يحتاج أن تقدية ابلعلومات أيضاً 
إلى العمل مع الإدارات الأمنية التقليدية في المئؤسسة متضمنة وحدات أمن ال ممتلكات 
والأفراد. كما يوجد العديد من الاعتمادات المتبادلة الأخرى الهامة التي تكون عادة 
فريدة بالنسبة لبيئة المؤسسة أو بيئة النظام. لذا يجب على المديرين أن يدركوا كيف 
يرتبط أمن تقنية ا معلومات مع المجالات الأخرى للنظم وكيف يرتبط أيضاً مع إدارة 

امؤسسة. 

۷. يجب إعادة تقييم أمن تقنية المعلومات بشكل دوري: تمتاز نظم تقنية المعلومات 
والبينات التي تعمل فيها بأنها متغيرة. أي أن تقنية ومستخدمي النظام» والبيانات 
وا معلومات داخل النظام» وا مخاطر المرتبطة بالنظام» والمتطلبات الأمنية جميعها دانئمة 
التغير. وهناك عدة أنواع من التغيرات التي يمكن أن تؤثر في أمن النظم» تشمل التطورات 
التقنيةء والتغيرات في قيمة أو استخدام المعلومات» وظهور تهديدات جديدة. أضف إلى 
ذلك. أنه م يتم اختبار الأمن وم يكن مكتملاً عند تطبيق النظام. ويتمكن مستخدمو 
ومشغلو النظام غالبا من اكتشاف أساليب جديدة لتجاوز أو تقويض الأمنء سواء كان 
ذلك بقصد أم بدون قصد. فالتغيرات التي تطراً على أحد نظم تقنية المعلومات أو البيئة 
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التشغيلية الخاصة به يمكن أن تتسبب في إيجاد ثغرات أمنية جديدة. كما أن الالتزام 
والتقيد الصارم بالإجراءات الأمنية أمرٌ نادر جداء بل إن هذه الإجراءات تصبح قديمة 
مرور الوقتء الأمر الذي يجعل من الضروري إعادة تقييم أمن نظم تقنية ا لمعلومات 
بشكل دوري. 

6. أمن تقنية المعلومات مقيد بعوامل اجتماعية: قد تكون قدرة أمن تقنية المعلومات 
على دعم رسالة المؤسسة محدودة ومقيدة بعوامل مثل القضايا الاجتماعية» فقد 
يحدث تعارض بين الأمن وخصوصية مكان العمل. فعلى سبيل المثال» يتم تطبيق 
أمن نظم تقنية المعلومات غالباً من خلال تحديد المستخدمين ومتابعة أعمالهم 
التي يقومون بها. من ناحية أخرىء تتنوع توقعات الخصوصية كما يمكن أن يتم 
انتهاكها من خلال بعض التدابير الأمنية. ومع أن الخصوصية تعد قضية اجتماعية في 
غاية الأهمية: فإنها ليست المسألة الوحيدة المهمة. فتدفق المعلومات. وخاصة بين 
الحكومة ومواطنيهاء تعتبر حالة أخرى قد تحتاج الإجراءات الأمنية فيها إلى بعض 
التعديلات لدعم الهدف المجتمعي. هذا بالإضافة إلى أن بعض التدابير المستخدمة 
للتحقق من صلاحيات مستخدمي النظم يمكن اعتبارها اختراقات للخصوصية في بعض 
البيئات والثقافات. 
لذلك يجب أن يتم تحديد الإجراءات الأمنية وتنفيذها في ظل الاعتراف بحقوق 

الآخرين ومصالحهم المشروعة. وقد يتطلب ذلك تحقيق مزيد من التوازن بين الاحتياجات 

الأميثة لأفنات المعلؤمات: واا تخد من وبين الأهذاف الل تة خضلا عن أن القواعه 
والتوقعات تتغير إزاء الاستخدام ال ملائم للضوابط الأمنية. وهذه التغيرات إما أن تزيد أو 
تقلل من الأمن. وليس بالضرورة أن تكون العلاقة بين المعايير الأمنية والمجتمعية علاقة 
عدائية. فالأمن يستطيع أن يعزز الوصول إلى البيانات والمعلومات وتدفقها من خلال 
توفير معلومات أكثر دقة وموثوقية وإتاحة أكبر للنظم. كما يستطيع الأمن أيضاً زيادة 
الخصوصية الممنوحة للفرد أو المساعدة على تحقيق أهداف مجتمعية أخرى تم وضعها 
من قبل المجتمع. 
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تطبيق المبادئ الأمنية في إدارة تقنية المعلومات: 

على الرغم من أن مبادئ 08557 الثمانية ليست حتمية» فإنها تلخص الإطار العام الذي 
تحت أن يكون هاا دة فن لوان اهن والجوكمة الوق دة فة وات إن 
تجاوز تلك ال مبادئ يفرض على وحدة أمن تقنية المعلومات في المؤسسة إعادة التفكير ببعض 

الممازسات والإجراءات المتبعة حالياً لإعادة تنظيمها بشكل يضمن تبني مبادئ 64557. 

يوضح الشكل التوضيحي )١-٠١(‏ الدور الهام الذي تلعبه المبادئ الأمنية الرفيعة المستوى 

مثل 08557 في المؤسسة. مع إيلاء الاهتمام بمنتجاتها التقنية المثبتة وغيرها من العوامل. 

وعلى الرغم من وجود العديد من الطرق لتطبيق تلك المبادئ الأمنيةء فإنه ينبغي على إدارة 

تقنية المعلومات ألا تفقد المسار الذي قامت عليه 64557 حيث قامت على بعض المبادئ 
العريضة والقوية في أمن تقنية المعلومات. وتتناول هذه المبادئ الواسعة الانتشار خصائص 
سرية» وسلامة» وتوافر المعلومات الخاصة بأمن بتقنية المعلومات. كما توفر تلك المبادئ 

إرشادات عامة للحوكمة لإنشاء وصيانة أمن المعلومات. 

سوف نتحدث عن النقاط الموضحة في الشكل التوضيحي )1-١١(‏ لكي نصف بإيجاز بعض 
العناصر الرئيسية الخاصة مبادئ 68557 وكيفية ارتباط بعضها ببعض وبالبيئة الشاملة 
لأمن تقنية المعلومات. وقد تختلف أي من هذه المجالات أو النقاط المذكورة حسب 
المؤسسة وحجمها وموطنها. وسنبدأ من مركز الشكل حيث المعايير الأمنية وغيرها من 
الآليات» صعودا إلى الدليل المعرفي ع16201:1608 01 (800, ثم نسير باتجاه عقارب الساعة 

حول العوامل الأخرى الضرورية لتشكيل بيئة أمنية فعالة باستخدام مبادئ 64557. 

٠‏ معايير وآليات الأمن: نواة أي بيئة أمنية فعالة عبارة عن مجموعة من اممعاييں والآليات» 
والممارسات. والاتفاقيات الأمنية القوية التي تخص مؤسسة ما. وهذه هي أنواع القضايا 
التي تمت مناقشتها خلال فصول هذا الكتاب باعتبارها عمليات رقابية عامة فعالة 
لحوكمة تقنية المعلومات. 
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شكل توضيحي )1-1١(‏ 


دور المبادئ رفيعة المستوى لأمن تقنية المعلومات في المؤسسة 





٠‏ الدليل المعرفي لمبادئ 684558: لقد قمنا هنا بتلخيص مبادئ 08557 إلا أنه يتوجب 
على شريحة كبيرة ومختلفة من الأشخاص الذين يعملون في المؤسسة فهم تلك المبادئ 
العامة؛ كما يجب عليهم أن يُظهروا التزامهم بفهم وتنفيذ تلك المبادئ بشكل منتظم. 
الفكرة عنااهى أنه ق.طل :وجوه أي استفسان يتعلق بض المارنات الخاطة بامن'تقنية 
ا معلومات» يتعين على إدارة تقنية المعلومات في المؤسسة في هذه الحالة الرجوع إلى هذه 
المبادئ العامة لتساعدها في تفسير وحل أي قضية من القضايا التي تواجهها. 

٠‏ القوانين والتنظيمات التوجيهية: تخضع كل مؤسسة لمجموعة متنوعة وف الغالب مختلفة 
من القوانين واللوائح التنظيمية. وخيرٌ مثال على ذلك هنا هو أننا نستطيع أن نلاحظ 
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الاختلاف الكبير بين قوانين القصوصية الشخصية من تلد :إل خر لذا يحب أن تفي مياد 
۶9 دائماً اعتماداً على هذه القوانين والقواعد المختلفة والمتغيرة في بعض الأوقات. 

٠‏ الموارد المهنية للمنظمة: تقوم المنظمات المهنية مثل 154024 و 41024 بانتظام بإصدار 
مجموعة من الإرشادات والمعايير التي تضيف المزيد من المتطلبات الجديدة على أساليب 
أمن تقنية المعلومات أو تغير من تلك الأساليب. لذا يجب على المؤسسة الإلمام بمثل هذه 
الأمور ثم تقوم بعمل التغيرات المطلوبة على بيئة أمن تقنية المعلومات الخاصة بها ما 
يتفق مع هذه الإرشادات والمعايير الجديدة. 

٠‏ منتجات البنية التحتية والأمنية لتقنية المعلومات: هناك مجموعة متنوعة وواسعة من 
تطبيقات ومنتجات البنية التحتية لتقنية المعلومات التي تستطيع أن تساعد في عملية 
توجيه 3 فيل الأساليب الخاصة بأمن تقنية المعلومات. فبينما لا يجب على المؤسسة 
أن تقوم بتثبيت المنتجات التي تعاني قصوراً في هذه امبادئ الأمنيةء نجد أنه من الضروري 
أن تكون المؤسسة على علم بأي خصائص جديدة وفريدة للمنتجات التي تم تثبيتها 
وإجراء التعديلات المناسبة على الممارسات الأخرى لأمن تقنية المعلومات. 

٠‏ مجلس المبادئ الأمنية الخاص ممبادئ 4557©: عندما تقوم المؤسسة باعتماد مبادئ 
9۶ فهي بحاجة إلى تكليف بعض الأشخاص الموثوقين ليقوموا بتفسير عمليات 
تطبيق مبادئ 64557 بصورة سليمة. وقد يأ الأشخاص المناسبون لهذه المهمة 
من وحدة أمن تقنية المعلومات» أو من مجموعة ضمان الجودة. أو ممثل عن إحدى 
الوحدات مثل وحدة التدقيق الداخلي لتقنية المعلومات. وعلى الرغم من أنه قد لا يكون 
أحد من هذه المجموعة خبيرا بمبادئ 6485۴ فإن الفكرة هي تعيين شخص مسئول عن 
فهم تلك المبادئ يستطيع تفسيرها اعتماداً على الاستفسارات المطروحة ويمكن أن يكون 
الحكم إذا تطلب الأمر ذلك. 

٠‏ ال موارد الرسمية والاستشارية: على الرغم من أنه قد جرت العادة بعدم بيع الخدمات 
الاستشاريةء فإنه يجب على المؤسسة أن تكون على ارتباط وثيق بمنظمات مهنية مثل 
4 و1502 للاطلاع على آخر التعديلات والمواد التفسيرية الأخرى التي طرأت على 
مبادئ .GASSP‏ 
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٠‏ التدريب والتوعية: لن تكون هناك أي قيمة حقيقية تذكر لتطبيق مبادئ 64557 في 
ا مؤسسة مالم يكن هناك تدريب لمجموعة رئيسية من أصحاب المصلحة في هذه المؤسسة 
على تلك المبادئ. لذا يجب على مطوري النظم على وجه الخصوص أن يفهموا هذه 
المبادئ جيداً ويستخدموها عند إطلاق التطبيقات الآمنة والفعالة للمؤسسة. 

٠‏ الشهادات والاختبارات: لا يوجد إلى الآن برامج خاصة بشهادات أو اختبارات لمبادئ 
64558. غير أن مثل هذه البرامج قد يتم تطويرها في المستقبل. 

ومع أن مبادئ 68557 م تلق إلى الآن مستوى واسعاً من القبول من قبل اللمؤسسات في 
الولايات المتحدة. ففي ظل التغيرات المستمرة والتقدم التكنولوجي العالمي الموجود اليو 
بالإضافة إلى ا مخاوف المتزايدة لأمن تقنية المعلومات. توفر هذه المبادئ أساساً هاماً أو إطار 
عمل للنظر في أمن تقنية المعلومات وتقييمه. لذا يجب على كبار المديرين الذين يبحثون 
عن طرق لإيجاد إجراءات فعالة لأمن وحوكمة تقنية المعلومات: أن ينظروا إلى تلك المبادئ 

على أنها نقطة بداية لتحقيق الهدف المرجو. 

أهمية الإستراتيجية الأمنية الفعالة على مستوى المؤسسة: 

من الممكن أن تكون هناك قيمة معتبرة نتيجة تبني مجموعة عريضة من المبادئ الأمنية 
مثل مبادئ 6488 إلا أن المؤسسة بحاجة أيضاً إلى تبني وتطبيق إستراتجية شاملة لأمن 
تقنية المعلومات.. إن الأمن ف عام اليوم الإلكتروني والمرتكز على تقنية المعلومات يش تمل 
على هياكل معقدة وتقنيات تظهر وتتطور بشكل مستمر. ولي نضمن أن المؤسسة قد 
قامت بإنشاء مستويات مناسبة من أمن تقنية ال معلومات» ينبغي عليها أن تفكر في استخدام 
نموذج أمني من أعلى لأسفل 100-1500102 لتحديد وتقييم أصولها الأمنية. فباستخدام مثل 
هذا النهج الأمني من أعلى لأسفلء تستطيع الإدارة أن تدرك بشكل أفضل مدى خطورة 
القضايا الخاصة بأمن تقنية المعلومات» ومن ثم الشروع بتطبيق العمليات التي تتبلور في 
الأمفل والموجودة لدى فريق عمليات التشغيل. وهذا يختلف عن النهج الذي يتبع نهجاً 
من أسفل إلى أعلى ولا ط٥80‏ حيث يقوم فريق تشغيلي أقل درجة ببدء العملية ومن 

ثم يقوم بنشر نتائجه صعوداً نحو الإدارة على شكل توصيات للسياسة المقترحة. 
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يقدم الشكل التوضيحي )١-٠١(‏ توضيحاً بسيطاً لمفهوم النموذج الأمني من أعلى إلى 
مسقل لم10 وستوضح الفقرات التالية عناصر هذا المفهوم بمزيد من التفصيل. 
وعليه فإنه يجب تطبيق البنية التحتية لأمن تقنية ا معلومات بشكل متساو على الوصلات 
القبكية الوجودة مقا والوضلات الجديدة لاوز خد ذلك يجب عماية الفسيكة 
الخاصة با منظمة بناء على المخاطر التي تمثلها تلك الشبكة للمنظمة. 


اللشنتوق الأغلى من النموذج الموجود في الشكل التوضيحي )7-١١(‏ يدعو إلى سياسات 
أمنية فعالة. ومع أن الأمر قد يبدو في بعض الأحيان وكأنه واضح للغايةء فإنه ينبغي على 
المدير الأول الذي يقوم بمراجعة الضوابط الموجودة في البيئة الأمنية لتقنية المعلومات أن 
يقوم بداية بتعهد فهم السياسات الأمنية الحالية لتقنية المعلومات في المؤسسة. وعلى 
الرغم من أن هذه السياسات تكون في العادة رفيعة المستوىء فإن أي مجموعة سياسات 
كهذه يجب أن تُغطي الجوانب الأمنية كافة لتقنية المعلومات. ورا يكفي أن نذكر أن 
السياسات الأمنية لتقنية المعلومات في المؤسسة سوف تستند إلى المبادئ الخاصة ممعايير 
الآيزو التي تمت مناقشتها في الفصل السابع من هذا الكتاب وكذلك مبادئ كوبت التي تمت 
مناقشتها في الفصل الخامس من هذا الكتاب. 

ويجب أن تكون هذه الإستراتيجيات الأمنية مدعومة بممعايير أمنية تفصيلية تشمل 
عمليات تنفيذ مراقبة النظم. وتهيئة النظام للعمل كخادم تطبيقات أو خادم ويب» أو 
تهيئة الجدران النارية لفصل النظم ووضعها في مناطق محددة. كما يجب أن تكون هذه 
المعايير خاصة بكل من التطبيقات ونظم التشغيل» وأن تكون مفصلة على نحو كاف لتُمكن 
المستخدم صاحب ال معرفة من القيام تتفي أرق النشاطات ال موجودة في أن انز أو 
تمكنه من تهيئة النظام أو التطبيق. E‏ يجب على هذه المعايير أن تحدد ؛ الخطوات التي 
يجب اتخاذهاء مثل ال موافقةء في حال كان الأخلال بهذة اتر أمرا روزن 

علينا أن نفكر في العمليات التشغيلية لأمن تقنية المعلومات باعتبارها سلسلة من 
مناطق الثقة. بمعنى أنه يجب على عمليات التشغيل الخاصة بتقنية المعلومات أن تقوم 
بتحديد وتصنيف جميع الوصلات والنظم الحالية داخل الأماكن المنطقية المتعلقة بالأمن. 
أحد العناصر الرئيسية في هذا التصنيف الأمني هو الوصول إلى الإنترنت والوصلات الشبكية 
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الأخرى مثل نظم الدعم الخاصة بالبائعين. وفيما يلي أربعة تصنيفات ممكنة ممثل هذه 
النظم المتداخلة: 


شكل توضيحي (۲-۱۰) 


مفهوم نموذج أمن تقنية المعلومات من أعلى لأسفل 





-١‏ النظم والعمليات الموثوقة: هي النظم التي تخضع مباشرة لسيطرة إدارة تقنية 
ا معلومات. فمن المحتمل أن يحتاج المستخدمون والنظم إلى صلاحيات الوصول الكامل 
لجميع النظم الداخلية لتقنية المعلومات بشكل أساسي. 

؟- نظم شبه موثوقة: هي النظم الخاصة بدعم الموردين وبعض شركاء الأعمال. والتي 
تحتاج إلى صلاحيات وصول موثوقة لحماية النظم المكشوفة التي لا تكون متاحة لعامة 
الناس. 

۴- نظم غير موثوقة: هي غالباً النظم والعمليات المرتبطة بالعميل والتي تتطلب حقوق 
وصول موثوقة للصادر معلومات محددة. هذا بالإضافة إلى النظم المكشوفة والمتاحة 
لعامة الناس. 
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-٤‏ النظم العدائية وتهديدات العملية: حقوق وصول مقيدة ومحددة جداً فقط هي التي 
يُسمح بها للوصول إلى مثل هذه النظم. وينبغي الكشف عن محاولات الوصول غير 
المصرح بها في الوقت الحقيقي. 
عقب هذه التصنيفات» لا بد من إعادة النظر في جيمع المستويات الخاصة بروابط أو 

علاقات تقنية المعلومات مثل دعم الموردين والعملاء والشركات الفرعية التابعة وشركاء 

الأعمال ووضعها على مستوى من الثقة وفقاً لأنواع الضوابط التي يمكن المحافظة عليها. 

فضلاً عن أن تحديد كل رابط في منظمة كبيرة يمكن أن يكون في أحسن الأحوال أمراً 

صعباً. من الوسائل الفعالة لعمل تصنيف كهذا هو القيام بعقد ورشة عمل يشارك فيها 
مجموعة كبيرة من أعضاء طاقم العمل ذوي ا معرفة والاطلاع المدركين للمفاهيم المرتبطة 
بأعمال المؤسسة والمشاريع وعلى علم بالمشاريع الأخرى داخل المؤسسة وبعمليات التشغيل 
الخاصة بتقنية المعلومات فيها. ومع أنه من غير المرجح تحديد الروابط كافة في ورشة عمل 
واحدة. فإن هذا النوع من الممارسة قد يساعد على تحديذ أغلبية الروابطء ويساغد أيضاً 
على تحديد أعضاء طاقم العمل الآخرين في المؤسسة الذين قد يكونون مسؤولين عن تحديد 

تلك الروابط وغيرها. 
لا بد من توثيق هذه الروابط أو العلاقات وكذلك بروتوكولات الاتصالات الشبكية 

الخاصة بها واستخدامها لوضع ضوابط تفصيلية للسماح بالوصول من المواقع المناسبة 

المقصودة وإليها. ونتيجة لذلك فإنه ينبغي على المؤسسة الفصل بين الأجزاء المختلفة من 

شبكتها إلى عدة مناطق ثقة. 
إن عملية فصل وتصنيف النظم والعمليات تعمل على فصل النظم اعتماداً على فئات 

محددة من الثقة. لذا يجب أن يكون هناك داتيما لدى الشبكة الداخلية لتقنية المعلومات 

في المؤسسة الجزء الشبكي الخاصة بهاء مشتملاً على خادم الويب» وخادم البريد الإلكتروني» 

وخادم اسم النطاق وغيرها من الخوادم الأخرى التي يجب أن يتم تصنيفها إلى مناطق ثقة 

وأن يتم تقسيمها أو تجزئتها بشكل مناسب. قد يؤدي هذا إلى تجزئة كل خدمة من هذه 
الخدمات ووضعها في مناطق منفصلة أو قد يؤدي إلى تنفيذ عدد من هذه الخدمات في 
منطقة واحدة. وسيعتمد التصميم النهائي للهيكل الأمني المحيط على هذا التصنيف الخاص 
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بالنظم والخدمات» غير أن تصميم تلك المناطق والتصنيفات يعد أحد العناصر الحساسة 
للأمن المحيط بتقنية المعلومات. 


تخطيط استمرارية تقنية المعلومات: 

على مر السنين وخاصة في زمن استخدام الحواسيب المركزية القديمة. كان مدققو تقنية 
المعلومات في المؤسسة يقومون غالباً بإثارة العديد من القضايا التي تتعلق بمخاطر فقدان 
المؤسسة لقسم كبير من مواردها الخاصة بتقنية المعلومات نتيجة وقوع أحداث كارثية. 
الأمر الذي كان مصدر قلق كبر وخصوصاً في الأيام الأولى لظهور تقنية المعلومات عندما 
كانت معظم العمليات التشغيلية للنظم تعتمد على النظم ال مركزية» حيث كان هناك 
القليل من وصلات الاتصالات لذ بط الموارد الخاصة بتقنية ا معلومات» وقد كان يتم في هذه 
النظم ا مركزية القدهة تثبيت جميع التركيبات المطلوبة تقريباً من قبل البائعء إذ إن تركيب 
نظام جديد کان يستلزم E‏ ضخمة. 

وقد أدركت الإدارة العليا لاحقاً مخاطر تعطل تلك النظم» واستجابة لتلك المخاوف 
قامت أقسام تقنية المعلومات بتطوير إستراتيجيات بديلة للمعالجة. إن هذا التطوير 
الذي حدث في النظام والذي أصبح يعرف باسم التخطيط للتعافي من الكوارث الخاصة 
بتقنية ا معلومات» وفيه ستقوم المؤسسة غالباً بعمل الترتيبات اللازمة لتجهيز الموقع البديل 
الخاص باي معالجة لتغطية مخاطر تعطل النظام ا مركزي. ونظراً لأن تنفيذ مثل هذه الخطط 
قد يكون مكلفاً فإن مديري التدقيق الداخلي وغيرهم من المديرين في كثير من الأحيان 
كانت لديهم صعوبة في الترويج وتنبيه الإدارة العليا من تلك المخاطر. يسترجع مؤلف هذا 
الكتاب ذكرياته عندما كان يدير إحدى عمليات تدقيق تقنية المعلومات الخاصة بتخطيط 
التعافي من الكوارث لإحدى الشركات التي أصبحت فيما بعد من أكبر الشركات الأمريكية في 
مطلع التسعينيات من القرن الماضي» حيث كان واحد من المراكز الرئيسية للبيانات الخاصة 
بالشركة يقع بالقرب من أحد المطارات المزدحم بحركات الطائرات - مع وجود مخاطرة 
تتعلق بوقوع حوادث طيران - حيث لم تكن هناك أي خطة فعالة جاهزة للتعافي من 
الكوارث. وعندما قام م التدقيق الداخلي وللمرة الأولى بإثارة المخاوف المتعلقة بعدم 
وجود خطة فعالة لاسترجاع تقنية ا معلومات» قام وقتها الرئيس التنفيذي للمعلومات °10 
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بتجاهل هذه المخاوف قائلاً إن مثل هذه الكوارث لا هكن أن تحدث أبداً. وف النهاية قام 
هذا المؤلف مع إدارة التدقيق الداخلي بإثارة تلك المخاوف في أحد الاجتماعات مع لجنة 
التدقيق لتهيئة الشركة لإطلاق مثل هذه الجهود الخاصة بالتخطيط لمواجهة الكوارث. 

خلال الفترة من ثمانينيات وحتى مطلع تسعينيات القرن الماضي» كان الحل الشائع 
للتعافي من الكوارث المتعلقة بتقنية المعلومات بالنسبة للمؤسسات الكبيرة هو التنسيق 
مع أحد المرافق البعيدة المخصصة لمعالجة بيانات التعافي من الكوارث لإجراء ا معالجات 
الطارئة. وقد تم تخزين نسخ احتياطية للملفات والبرامج الرئيسية في أماكن خارج موقع 
العمل الحالي. مع وجود خطط تدعو موظفي تقنية المعلومات إلى التحول لاستخدام تلك 
المرافق البديلة في حال وقوع الكوارث. اعتقد المهنيون أن كوارث تقنية المعلومات هي 
فقط الحرائق والفيضانات أو بعض أحوال الطقس السيئة الأخرى. في تلك الأيام الأولى 
لنظم الحاسبات المركزية القدهة» كانت الشركات تستخدم في بعض الأحيان ما يبدو لنا 
اليوم وكأنها طرق غريبة لتطوير خططها الخاصة بالتعافي من كوارث تقنية المعلومات. فقد 
كانت هذه الطرق تقوم على توقيع "اتفاقيات تبادلية" مع مواقع قريبة منها ولديها موارد 
تقنية مماثلة لمواردها بحيث يمكن لكل منهما أن ينتقل إلى موقع آخر للمعالجة في حال 
وقع طارئ ما عند أي طرف من الطرفين. إن توقيع اتفاقية تبادلية بين اثنين من المديرين 
التنفيذيين للمعلومات 0105 يبدو أمراً جيداً من الناحية النظرية:. إلا أنها في الواقع لن 
تقدم أكثر من مجرد مساعدة إنسانية بشكل أساسي. فربما يكون هذا الموقع القريب الذي 
تم إبرام اتفاقية تبادلية مع القائمين عليه خارج نطاق الخدمة أيضاً للسبب نفسه من 
الكوارث الطبيعية المتعلقة بالطقسء أو رها لن يهتم بأي طرف آخر يقوم بتشغيل النظم 
الخاصة به في فترات خارج ورديات العمل. وكعائق أخيرء فإن المستشار القانوني للشركة قد 
يكون لديه مجموعة من الأسباب ليقول لا للاتفاقية التبادلية. 

في السابق» حيث كان يتم وضع نظم الحاسبات المركزية في مرافق بالأدوار العليا وكانت 
هناك مساحة للكوابل وغيرها من المعدات الأخرى الموضوعة في الطابق نفسه. وكان هناك 
عدد محدود من الموردين (مثل 01۷2٥‏ ,4:02021 .18231 : وقليل غيرهم) هم فقط من 
يقومون بتركيب وإعداد معظم النظم الخاصة بالحاسبات المركزية تقريباً. لذا فإن عملية 
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الانتقال إلى نظام بديل في الحالات الطارئة كانت تشكل تحدياً كبيراً. في الحقيقةء إن القيام 
بهذه العملية اليوم أصبح أسهل بكثير» إذ تكون معدات الحاسب في العادة جاهزة للعمل 
بدلاً من تلك التي تحتاج إلى تصنيع وتهيئة مخصصة كما كان شائعاً في الماضي. 

لم تكن الخطط الأولى للتعافي من الكوارث دقيقة بدرجة كبيرة. إلا أنه سرعان 
ما ظهرت مجموعة من بائعي أدوات التعافي من الكوارث الذين لديهم مواقع لنظم 
الحاسب مجهزة بالكامل والتي تكون متوقفة عن العمل (أو ما كان يسمى بالمواقع 
"الساخنة" 51665 "101") لتعمل بصفة مرفق احتياطي في حالة الطوارئ. في تلك الأيام 
الخاصة بالمرافق المركزية لتقنية المعلومات» كانت الشركات تتعاقد غالباً لاستخدام تلك 
المواقع "الساخنة" مرافق لها للتعافي من الكوارث» وإجراء الاختبارات الدورية» والاحتفاظ 
هناك بنسخ احتياطية من الملفات الرئيسية لذا كان على إدارة تقنية المعلومات إعادة 
التفكير في إستراتيجياتها. 

أما في عصرنا الحالي الذي يتميز بالبيئة الافتراضية للتخزين في نظام الخادم-العميل 
والتطبيقات القائمة على شبكة الإنترنت (تطبيقات الويب) فإن المؤسسة أصبحت تواجه 
مجموعة جديدة من ال مخاطر المحيطة بأصول تقنية المعلومات الخاصة بها. فمن الطبيعي 
ألا يكون هناك جهاز مركزي واحد للتعامل مع التطبيقات الآلية الكبيرة: وإنما يوجد 
مجموعة واسعة من أجهزة الحاسب المكتبية والخوادم والتسهيلات السحابية وغيرها 
من النظم المتصلة عادة من خلال وسائل اتصال بالغة التعقيد. وشبكات لإدارة التخزين» 
وروابط مع الإنترنت. إن ا مؤسسات لا تضع كافة موارد تقنية المعلومات الخاصة بها تقريباً 
في مركز بيانات واحد (أو أكثر)» فالإدارة مهتمة بالإبقاء على مرافق تقنية المعلومات الخاصة 
بها تعمل على أكمل وجه أكثر من قلقها بشأن المخاطر المتعلقة بفقدان أحد مرافق نظم 
الحاسب المركزية. إن المبدأ الأساسي للتخطيط من أجل التعافي من كوارث تقنية المعلومات 
كان يعتمد على امتلاك عمليات معمول بها لاستئناف عمليات التشغيل في حال حدثت 
كارثة ماء هكن أن تتسبب في تعطيل مركز الحاسب. إن هذا النهج القديم للتعافي من 
الكوارث لم عد هاخا اليوم. فالمؤسسة بحاجة للتخطيط لاستمرارية العمليات التشغيلية 
لأعمالها في حال التعرض لأحداث غير متوقعة. 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات ا 


الفصل العاشر 


فمع وجود نظم الخادم والنظم القائمة على الإنترنت اليوم» نجد أن اللغة والأساليب 
الإستراتيجية الخاصة بتخطيط استمرارية الأعمال والتعافي من كوارث تقنية المعلومات 
قد تغيرت. لذا يتعين على المهنيين الآن التفكير في أهمية وجود خطة لاستمرارية الأعمال 
Business Continuity Plan (BCP)‏ والتى تتكون من الإجراءات والعمليات الضرورية 
التي يجب اتباعها لاستعادة كل العمليات التشغيلية للأعمال. إن النهج والمطلب الجديد 
هو وضع خطة لاستمرارية الأعمال 807 بدلاً من وضع خطة للتعافي من الكوارث التي 
كانت موجودة في السابق. فا مستخدم الذي يقوم باستخدام أحد النظم الخاصة بمعالجة 
طلبات الشراء عبر الإنترنت تكون درجة اهتمامه بحالة الخادم فيما إذا كان يعمل أو لا 
أقل من اهتمامه بطلب العميل الذي تم تسليمه عبر موقع الإنترنت فيما إن كان قد تمت 
معالجته بشكل سليم وفعال أم لا. لذا يجب استعادة وتشغيل التطبيق بشكل سريع 
وفعال قدر الإمكانء إلا أنه يبقى الهدف الرئيسي وهو دعم واستعادة عمليات الأعمال. 


خطط استمرارية الأعمال وحوكمة تقنية المعلومات: 

لا يزال بعض مديري تقنية المعلومات ينظرون إلى المخاطر والتعافي من الكوارث من 
منظور الخطة التقليدية القديمة للتعافي من الكوارثء على الرغم من أن تلك الخطط كانت 
تعتمد على الحاسبات المركزية القديمة والتي كانت موجودة قبل ظهور الإنترنت بزمن 
بعيد. في الأيام الأولى لتقنية المعلومات كان هناك تركيز كبير على مسألة التخطيط للتعافي 
من الكوارث - أي استعادة نظم أجهزة الحاسب والتطبيقات وملفات البيانات الخاصة 
بتقنية المعلومات - أما استرجاع العمليات الأساسية للأعمال فلم تعط الدرجة نفسها من 
الاهتمام. وعلى الرغم من أن التعافي من كوارث تقنية المعلومات لايزال من الأمور الهامة, 
إلا أن الإجراءات والممارسات الفعالة التي كانت مستخدمة سابقا للتعافي من كوارث تقنية 
المعلومات تكون غالباً ذات قيمة محدودة في ظل عام اليوم المتصل بالإنترنت» والنظم 
القائمة على الحوسبة السحابية الموجودة حاليا. ولي تقوم المؤسسة بدعم عمليات حوكمة 
تقنية المعلومات الخاصة بها يجب أن تقوم بتثبيت وتنفيذ خطة شاملة قوية لاستمرارية 
الأعمال 807 تشمل كلاً من استرجاع النظم وعمليات الأعمال الخاصة بها. 
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بالنسبة لبعض المهنيينء فإن هذه المصطلحات يكتنفها بعض الغموض. فعند البحث 
في الويب سواء عن "التعافي من كوارث تقنية المعلومات disaster re٥۷‏ 1۲" أو 
"خطة الاستمرارية وسنصصها :رانناسناده0" سوف يقدم هذا البحث خليطاً من المراجع 
ابمتباينة لكلا ا مفهومين» متجاهلاً ما نعتبره فروقاً جوهرية بين هذين المجالين. فمعظم هذه 
المراجع» على الرغم من أسمائهاء فهي تركز على التخطيط التقليدي للتعافي من كوارث تقنية 
اللخلؤمات يذلا مق العمليات الأكر عمومنة والقاضة خط امسدمرارية امال 089 8؛ 
وفي مثال على هذا اللبس» قامت إحدى المنظمات المهنية ذات مرة بإطلاق اسم معهد 
التعافي من الكوارث Disaster Recovery [stitute (DR1(‏ على معهد إدارة الطوارئ“ 
stitute for Contingency Management‏ وهو الاسم الذي يعرف به e‏ 

ينبغي على كل مؤسسة أن تمتلك خطة فعالة ومعمولاً بها لاستمرارية الأعمال 807 
بصرف النظر عن حجم العمليات التشغيلية أو مدى أهمية موارد تقنية المعلومات الخاصة 
بها. مع تركيز هذه الخطة على الأشخاص والمرافق المادية وغيرها من الموارد. فإن إطلاق 
خطة فعالة لاستمرارية الأعمال 807 يتطلب مشاركة طيف عريض من مديري المؤسسة 
وغيرهم من العاملين. من ناحية أخرى تمثل موارد تقنية المعلومات أحد العناصر الأساسية 
في خطة استمرارية الأعمال 8٥۴‏ ولهذا السبب يجب على إدارة المؤسسة أن تدرك وتلعب 
دوراً أساسياً في ترسيخ خطة استمرارية الأغمال 868 ف اللؤسسة. 

وتمتد الخطة الفعالة لاستمرارية الأعمال 807 إلى ما هو أبعد من تقنية المعلومات 
لتشمل استعادة واستئناف جميع العمليات التشغيلية في المؤسسة والحفاظ عليها. وعلى 
الرغم من أن استعادة نظم فة اللو مات والبيانات الإلكتزوكية يجن ارا هاما كان 
استرجاع تلك النظم والبيانات لن يكون كافياً دائماً لاستعادة عمليات التشغيل الخاصة 
بالأعمال. فهناك العديد من الجوانب المتعلقة باستمرارية الأعمال مثل وضع خطة 
الاستجابة في حال حدوث فيضانات غير متوقعة أثناء عملية استخراج المعادن. على كل 
حال فإن الحديث في هذا الفصل سيكون عن العمليات التشغيلية للأعمال مع دعم مكثف 
للعمليات التشغيلية لتقنية المعلومات. 
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الفصل العاشر 


وتشتمل خطة استمرارية الأعمال 807 في المؤسسة على تحديد أولويات أهداف 
الأعمال وعمليات التشغيل الحرجة » والتي تعد من الأمور الأساسية لعملية التعافي. لذلك 
لابد من هيكلة العمليات ضمن إطار عمل على مستوى المؤسسة يأخذ بعين الاعتبار جميع 
العمليات الهامة ووحدات الأعمال والإدارات والنظم المطلوبة للاستجابة للحلول الخاصة 
بالخلل والتعافي التي يجب تطبيقها. كما يجب أن يشتمل هذا الإطار على خطة قصيرة 
وطويلة المدى لعمليات التشغيل الخاصة بالاسترجاع» فبدون العمليات الخاصة بخطة 
استمرارية الأعمال 807 على مستوى المؤسسة التي تأخذ بعين الاعتبار جميع عناصر 
الأعمال الحساسة؛ ربما يجعل المؤسسة غير قادرة على استئناف الخدمات التي تقدم للعملاء 
وغيرها من عمليات التشغيل عند مستويات مقبولة. ومع أن العديد من مؤسسات اليوم 
تفتقر غالباً إلى وجود خطط كهذه. فإنه يجب على الإدارة أن تقوم بتحديد أولويات الأهداف 
الخاصة بأعمالها وعمليات التشغيل الحساسة لديها والتي تعد من الأمور الأساسية لبقاء 
ا مؤسسة» وذلك على اعتبار أن استعادة جميع وحدات الأعمال قد لا يكون ممكناً بسبب 
التكلفة. وخدمات الإمداد أو التجهيزات» وظروف أخرى غير متوقعة. 

كما يجب أن تشتمل خطة استمرارية الأعمال 807 الفعالة على تحديث منتظم 
لتلك الخطة بناء على عمليات الأعمال وتوصيات التدقيق والدروس المستفادة من عملية 
الاختبار. وتشتمل التغيرات في عمليات الأعمال على التطورات التقنية التي تسمح بمعالجة 
أسرع وأكثر كفاءة. والتي من خلالها يتم تقليل الفترات المقبولة لاسترجاع العملية الخاصة 
بالأعمال. واستجابة للمطالب التنافسية ورغبات العملاء فإن العديد من المؤسسات تقترب 
من فترات أقل للتعافي وتصميم حلول تقنية للتعافي داخل عمليات الأعمال. هذه التطورات 
التقنية تشدد على أهمية صيانة خطة استمرارية الأعمال 807 على مستوى المؤسسة 
والحفاظ عليها. 

وفضلاً عن أنه قد يوجد العديد من الاختلافات في عمليات التشغيل الخاصة بالأعمال 
المؤسسية» والعديد من الاختلافات التي تحتاج المؤسسة إلى أن تقوم بها من أجل تحقيق 
الاستمرارية في حالة وقوع بعض الحوادث أو الكوارث غير المتوقعة؛ فإنه من الصعب وضع 
وصف تفصيلي للمعايير الخاصة بخطة استمرارية الأعمال 807. ولتطبيق خطة لاستمرارية 
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الأعمال 807. يجب على إدارة المؤسسة أن تأخذ بعين الاعتبار الإرشادات المتعلقة 
باستمرارية الأعمال التي تم تطويرها بواسطة منظمات مهنية مختلفة كالجمعية الوطنية 
الأمر يكية للحماية من الحريق National Fire Protection Association (NFPA)‏ التي 
تم تطويرها من خلال بائعي الحاسبات كشركة أوراكل 012616 وإتش بي 41 أو التي تم 
تطويرها من خلال منظمات المعايير الوطنية الأخرى. ولعل أفضل الممواد الخاصة بأفضل 
الممارسات المتبعة لاستمرارية الأعمال وأكثرها شهرة. هي التي صدرت عن الهيئة البريطانية 
الوطنية للمعايير (851) عأنا.:101910:551.807 ومعهد استمرارية الأعمال التابع لها الذي يقوم 
بنشر إرشادات حول بعض الممارسات الجيدة. هذه المعايير مشابهة لمعايير الآيزو 150 التي 
تمت مناقشتها في الفصل السابع من هذا الكتاب. ويوضح الشكل التوضيحي )7-١٠١(‏ نظرة 
عامة حول دورة حياة خطة استمرارية الأعمال 8۳۴ وفقاً للمعيار البريطاني 25999 85. 

لقد قمنا بوصف هذا النهج الخاص بخطة استمرارية الأعمال 808 على أنها عملية 
حلقية ومستمرة لدورة الحياةء في وسط هذه العملية يوجد ما يعرف بإدارة برنامج خطة 
استمرارية الأعمال 807 وفي خطوة أولى لإصدار خطة فعالة لاستمرارية الأعمالء يجب 
على المدير المسؤول في المؤسسة أن يتحمل مسؤولية تعريف وإدارة البرنامج الخاص بوضع 
خطة استمرارية الأعمال 807. لقد كانت اللمؤسسات على مر التاريخ تنظر إلى قسم تقنية 
المعلومات التابع لها وتفترض أن العاملين بهذا القسم سيقومون بإدارة العمليات التشغيلية 
الخاصة بخطة استمرارية الأعمال 807 باعتبار أنه الفريق المسؤول عن خطة التعافي من 
كوارث تقنية المعلومات وعمليات النسخ الاحتياطي للملفات والاختبارات الدورية لهذه 
الخطة. فضلاً عن أنه في الغالب توجد عمليات ومهام أخرى تخص الاستمرارية تذهب إلى 
ما هو أبعد من مجرد تقنية المعلومات: كما أن هناك آخرين في المؤسسة رها يكونون هم 
الأطراف الأكثر ملاءمة للاضطلاع بمسؤولية هذا البرنامج على مستوى اللؤسسة. 

أما في ا مؤسسات التي يوجد بها وحدة لإدارة المخاطرء يكون ال مدير التنفيذي للمخاطر 
عادة هو الشخص الأنسب لتحمل مسؤولية برنامج إعداد خطة استمرارية الأعمال 
805. لكن في حالات أخرىء فإن المدير التنفيذي للمعلومات 010 هكن أن يتحمل 
كامل المسؤولية» أو قد يتم إسناد المهمة هنا إلى إدارة ضمان الجودة في المؤسسة. وتعد 
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خطة استمرارية الأعمال 807 أحد العناصر الهامة للغاية في حوكمة تقنية المعلومات في 
المؤسسة. وفي جميع الحالات فإنه ينبغي على لجنة التدقيق أن تقوم بمراجعة إستراتيجية 
خطة استمرارية الأعمال 807 هذه والموافقة عليها. 

أضف إلى ذلك أن المؤسسة تحتاج إلى وضع سياسة رفيعة المستوى لتحديد نطاق 
وأهداف خطط استمرارية الأعمال 80729 الخاصة بها. فمن السهل على المدير الأول أن 
يصرح بأن خطة استمرارية الأعمال 807 لدى المؤسسة ستغطي كل شيء. غير أن هناك 
حاجة لمحددات رفيعة المستوى تتعلق بنطاق الخطة. وعلى الرغم من أن تصريحات كهذه 
قد تبدو رائعة ومثيرة للإعجاب» فإنه قد يكون هناك منتجات أو خدمات معينة لا تحتاج 
إلى أن تكون في أي مستوى من المستويات العليا في خطط استمرارية الأعمال 807. 

شكل توضيحي )7-٠١(‏ 


دورة حياة خطة استمرارية الأعمال 18607 





'تضمين خطة استمرارية الأعمال 
BCP‏ 
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لابد من تأسيس فريق يعمل تحت إدارة الوحدة المؤسسية التي أسندت إليها مسئولية 
إعداد خطة استمرارية الأعمال 807 الخاصة بالمؤسسة. مهمة هذا الفريق تطوير سياسة 

استمرارية الأعمال للمؤسسة. بحيث تشتمل هذه السياسة على ما يلي: 

٠‏ مراجعة أي مواد حالية متعلقة بالتخطيط لاستمرارية الأعمال في المؤسسة مثل الخطط 
الموجودة للتعافي من كوارث تقنية المعلومات أو خطط الطوارئ المتعلقة بالأحوال 
الجوية. وذلك لتحديد مدى ملاءمة الإجراءات الخاصة بخطة استمرارية الأعمال 807 
الخاصة بها . 

٠‏ تحديد أي من إرشادات الممارسات الجيدة أو التنظيمات أو التشريعات التي يجب 
تضمينها في أي خطة لإدارة استمرارية الأعمال /801. 

٠‏ إجراء تقييم رفيع المستوى للمخاطر المتعلقة بخطة استمرارية الأعمال 807 بمعنى» 
تحديد جميع النظم الرئيسية وخطوط الإنتاج ووحدات الأعمال وغيرها من الإدارات التي 
تتطلب أولويات عليا لاستمرارية أعمالها 

٠‏ تطوير سياسة المؤسسة لاستمرارية الأعمال ومناقشة فرضياتها للحصول على موافقة 
الإدارة العليا ولجنة التدقيق. 

٠‏ نشر السياسة التي تمت الموافقة عليها لخطة استمرارية الأعمال 807 على أنها دليل رفيع 
امستوى لإطلاق البرنامج الشامل لاستمرارية أعمال اممؤسسة. 

يجب أن تصبح هذه الخطة المتفق عليها أو المقبولة لاستمرارية الأعمال 807 فيما 
بعد بمثابة حجر الأساس لجميع أنشطة التخطيط لاستمرارية المؤسسة. وهذا هو جوهر 
مفهوم الحوكمة الذي سوف يسمح للمؤسسة بتضمين خطط استمرارية الأعمال في ثقافتها 
العامة. كما يجب استخدامها من قبل المواد الإرشادية الخاصة باستمرارية الأعمال التي 
تمت مناقشتها في هذا الفصل في خطوة أولية لإطلاق مجموعة من العمليات الفعالة 
لإدارة استمرارية الأعمال (8©0124) .Business Continuity Management‏ وكما ذكرنا 
سابقاً لا بد أن نرى هذا القالب» أو نمطا قريباً جداً منه في أقرب وقت ممكنء » وقد أصبح 
معياراً عامياً لعملية استمرارية الأعمالء تماماً كإطار عمل الرقابة الداخلية الصادر عن لجنة 
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الفصل العاشر 


المنظمات الراعية (0050) الذي تمت مناقشته في الفصل الرابع من هذا الكتاب والذي 
أصبح معياراً عالياً. 


يلخص نموذج دورة حياة إدارة استمرارية الأعمال 801/1 الموضح في الشكل التوضيحي 
)"-٠١(‏ العمليات الضرورية لفهم التنظيم النمطي للأعمال. ونتيجة لذلك يجب أن 
تكون المؤسسة في وضع يمكنها من اختيار إستراتيجيات ملائمة لاستمرارية أعمالها حتى 
تتمكن من تحقيق الأهداف المرجوة من وضع خطة لاستمرارية الأعمال 807. كما 
يجب على المؤسسة إطلاق مجموعة من العمليات البديلة للتشغيل لكي يتم استخدامها 
بعد الانقطاع الناتج عن عطل ما وذلك للإبقاء على أنشطة الأعمال في كل مجال من 
المجالات الرئيسية. وبناء على المخاطر التي تم تقديرهاء فإن هذه الإستراتيجيات يجب أن 
تعتمد على مجموعة من العواملء في تحديد أطول فترة زمنية مسموح بها لتوقف بعض 
الأنشطة الحرجة» وتكلفة تطبيق الإستراتيجية بالإضافة إلى العواقب الناتجة عن أي عطل 
أو انقطاع. 


إن الفرق الجوهري بين اتباع هذا النموذج الخاص بخطة استمرارية الأعمال 807 
والطرق التقليدية القديمة للتعافي من الكوارث» هو أن المخططين يجب أن لا يفكروا بخطة 
إستراتيجية واحدة للمؤسسة فحسب» بل لا بد من التفكير في كثير من الطرق المختلفة على 
مستوى النشاط بالنسبة للمؤسسة. إن التعقيدية الخاصة بالاعتمادات المتبادلة فيما يتعلق 
بالخدمات» وعمليات الأعمالء والبياناتء والتقنيات تحتاج إلى تحليلء وذلك من خلال 
الوسائل المناسبة لمعالجة احتياجات كل من: 

٠»‏ الأشخاص في المؤسسة: هناك حاجة لتحديد إستراتيجيات ملائمة للحفاظ على المهارات 
والمعرفة الأساسية للأفراد داخل المؤسسة ومستوى ال معرفة لدى الأشخاص العاملين في 
المؤسسة والحفاظ عليها. فالعديد من هذه الاحتياجات هنا تشمل مجالات مثل أوصاف 
وظيفية موثقة, تدرج في التخطيط والعديد من الممارسات الأخرى التي يجب تعزيزها 
من قبل الإدارة الجيدة للموارد البشرية. من ناحية أخرى يجب أن تدرك إستراتيجيات 
الأعمال:دائما أن الأقراد'الأماسيق قد لا يكوتون متاخين:يلوؤاضلة"التفاظ: وان عَمَليَات 
الاستمرارية القائمة على الأفراد يجب أن تكون دائماً في موضع التنفيذ. 
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الحوكمة وإدارة أمن تقنية المعلومات وإدارة الاستمرارية 


٠‏ احتياجات موقع العمل: يجب على المؤسسة وضع إستراتيجية للتقليل من الآثار المترتبة 
على عدم إتاحة مواقع العمل الطبيعية. ويتطلب ذلك في معظم الحالات إستراتيجية 
لتحديد مواقع بديلة لاستمرار العمليات التشغيلية أو حتى تحديد أحد الموظفين للعمل 
من المنزل للقيام ببعض الأنشطة. فإذا كانت بعض مرافق المؤسسة قد تم تضمينها في 
أنشطة مثل الصناعات الثقيلة أو ا معالجة الكيميائيةء مهما يكن فإن إتاحة موقع بديل 
رها لا يكون بالأمر السهلء بل إن إستراتيجيات أخرى على مستوى النشاط قد تتضمن 
حتى الانسحاب من عمليات التشغيل على المدى القصير. 

٠‏ التقنيات الداعمة: تعتمد المؤسسات على مرافق تقنية المعلومات ومعالجات شبكة 
الاتصالات السلكية واللاسلكية وموارد فحص المنتجات وعلى العديد من الأجهزة الأخرى 
حسب المنتج أو النشاط. وعلى الرغم من أن العديد من المؤسسات قد قامت بالفعل 
بتطوير خطط قوية للتعافي من كوارث تقنية المعلومات» فإن هذه اللمؤسسات بحاجة إلى 
فهم الأنشطة الأخرى لديها والقائمة على التقنية بشكل جيد لتقوم بتطوير إستراتيجيات 
مناسبة لخطط استمرارية الأعمال 802. 

٠‏ المعلومات الفعلية والافتراضية: بالإضافة إلى موارد تقنية المعلومات وغيرها من الأدوات 
القائمة على التقنية. يجب أن يكون لدى المؤسسة مجموعة كبيرة من الأنشطة المتعلقة 
با معلومات التي يمكن تقدهها على هيئة نسخ حقيقية وكذلك نسخ افتراضية أو إلكترونية. 
كما يجب أن يكون لأي معلومة مطلوبة لتنفيذ أنشطة حساسة الضوابط الملائمة والخاصة 
بالسرية والنزاهة والإتاحة والتداول. 

٠‏ المعدات والأجهزة: يجب على المؤسسة تحديد وحيازة مخزون الأجهزة والمعدات الأساسية 
التي تدعم الأنشطة الحساسة. فقد تتضمن الإستراتيجيات القائمة على النشاط تخزين 
الأجهزة في مواقع بديلةء أو عمل الترتيبات اللازمة مع الأطراف الثالثة لتسليم الأجهزة 
أو حيازة أجهزة معينة في مستودعات منفصلةء أو تحديد مصادر توريد بديلة. ولأن 
الأنشطة الحساسة تعتمد على تجهيزات متخصصة. يجب تحديد أو إجراء الاستعدادات 
التعاقدية مع الموردين الرئيسيين الحاليين. 
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الفصل العاشر 


٠‏ أصحاب المصالح والشركاء والمقاولون: يجب على المؤسسة وضع استراتيجيات ملائمة 
لإدارة العلاقات مع أصحاب المصالح وشركاء الأعمال أو الخدمات والمقاولين الرئيسينء لذا 
يجب على إستراتيجية إدارة استمرارية الأعمال 8024 أن تأخذ بعين الاعتبار تلك الأطراف 
المعنية الرئيسية والعمل على حماية مصالحهم. 

إن تطوير خطة استمرارية الأعمال والإستراتيجية الداعمة قد يكون في الواقع جهداً كبيراً 
لتغطية جميع أنشطة المؤسسة. لذا يجب على الخطة الشاملة لاستمرارية الأعمال 807 أن 
تنظر في جميع التهديدات الخاصة بالاستمرارية فيما يتعلق بالروابط والعلاقات بين جميع 
الأنشطة الرئيسية للمؤسسة. ونظراً لكثرة التداخلات في جميع أنواع ٠‏ عمليات التشغيل 

الخاصة بالأعمالء فإن هناك عدداً قليلاً قائهاً بذاته» وأنشطة مشتقلة عاها. 

إن الممارسات الفعالة لأمن تقنية المعلومات عبارة عن مجموعة من المهام ا معقدة 
والتي تتطلب دعماً فنياً قوياً لتقنية ا معلومات في المؤسسة. الأمر نفسه بالنسبة للتخطيط 
لاستمرارية الأعمال الذي يتطلب دعماً كاملاً من تقنية المعلومات والإدارة العليا. فضلاً عن 

أن كليهما يعد من المكونات الهامة في العمليات الفعالة لحوكمة تقنية المعلومات. 


م دليل امستول التنفيذي لحوكمة تقنية ا معلومات 


الحوكمة وإدارة أمن تقنية المعلومات وإدارة الاستمرارية 
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الفصل الحادي عشر 
معايير أمن البيانات الخاصة بصناعة بطاقات الدفع (555 )۲٣1‏ 
وقواعد أخرى لحوكمة تقنية المعلومات 


يعد معيار أمن البيانات الخاص بصناعة بطاقات الدفع Payment Card Industry‏ 
Data Security Standard PCI DSS‏ أحد أفضل الممارسات الخاصة بأمن المعلومات 
وكذلك معيار الصناعة المطلوب من قبل العديد من المؤسسات التي تتعامل مع معلومات 
أصحاب البطاقات بالنسبة للبطاقات الرئيسية كالسحب/ الخصم اال والائتمان غتلعىه , 
وبطاقات الدفع الآلي ۸1M‏ والبطاقات المستخدمة في نقاط البيع (005) 06-5316-]مذهط 
الموجودة في محلات بيع التجزئة. وقد تم تعريف هذا المعيار من قبل مجلس معايير 
صناعة بطاقات الدفع وأمن البيانات 201 Data Security Standards Council‏ وقد 
تم وضع هذا المعيار لزيادة الضوابط التي تحيط ببيانات حامل البطاقة وتقليل عمليات 
الاحتيال على البطاقات الائتمانية. وذلك باستخدام مجموعة من أفضل الممارسات امُوصَى 
بها. ففي ظل الاعتماد على استخدام بطاقات الدفع في مختلف أشكال الأعمال التجارية 
في جميع أنحاء العام هذه الأيام» ينبغي على المؤسسات التي تستقبل البطاقات الائتمانية 
لإتمام عملياتها التشغيلية على مختلف المستويات أن تلتزم معيار 255 801. إن فهم 
هذ المعيار ومتطلبات الامتثال به يعتبر واحد من العناصر الهامة الخاصة بحوكمة تقنية 
المعلومات بالنسبة للعديد من كبار مديري الأعمال هذه الأيام. 

يقدم هذا الفصل معيار أمن البيانات الخاص بصناعة بطاقات الدفع 255 2501 
ويناقش أيضاً أهدافه الرقابية للمساعدة في بناء وصيانة شبكة آمنة لتقنية معلومات. 
وسنتحدث أيضاً عن متطلبات الامتثال التي تندرج تحت هذه القواعد. وكل من عمليات 
التقييمات المناسبة للأمن في المؤسسات الكبيرة إلى جانب عمليات الاستخدام الاختياري أو 
التطوعي لاستبيانات التقييم الذاتي Self-Assessment Questionnaire (SAQ)‏ المتعلقة 
بمعيار 155 201 في الشركات الصغيرة. وتشتمل قواعد هذا المعيار على ما هو أكثر بكثير 
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الفصل الحادي عشر 


من مجرد ا معاملات الخاصة بالبطاقات الاتتمانية للعملاء حيث يعد الامتثال هنا جزءا 
رئيسياً وهاماً في حوكمة تقنية المعلومات. 

كما يتحدث هذا الفصل أيضاً بشكل مختصر عن قانونين آخرين من القوانين 
الأمريكية التي لها تأثير في حوكمة تقنية المعلومات وهما: قانون غرام ليتش بليلي 
)BAاG) Bley‏ -eachا-صصهات‏ الذي يغطي العمليات الخاصة بجمع ال معلومات 
الشخصية الخاصة بال مستهلكين والإفصاح عنها وحمايتهاء بالإضافة إلى مناقشة القواعد 
الخاصة بحفظ سجلات تقنية المعلومات التي تعد من عناصر قانون الرعاية الصحية 
المعروف بقانون 511844. إن نقاشنا الدائر حول كل من 618۸ و111884 يعد 
مجرد أمثلة للعديد من القوانين والقواعد التي نواجهها اليوم والتي تشتمل على العديد 
من قضايا حوكمة تقنية المعلومات. 

في الولايات المتحدة الأمريكية والاتحاد الأوروبي وغيرها من الأماكن في كل أرجاء العام 
نلاحظ أن تلك القوانينء وهذا العدد غير المحدود كما يبدو من القوانين والقواعد والمعايير 
الأخرى التي قد تم إصدارها مؤخراً؛ تحتوي على الأقل على بعض القضايا المتعلقة بحوكمة 
تقنية المعلومات. وفضلاً عن المعلومات الموجودة في ثنايا هذا الفصل حول 255 501 
و6184 و1۴44 فإن الفصول الأخرى ستقوم بتغطية القواعد وال معايير المختلفة 
لحوكمة تقنية المعلومات. على سبيل المثالء قدم الفصل السابع من هذا الكتاب المعايير 
الدولية الصادرة عن الآيزو فيما يخص حوكمة تقنية ا معلومات» كما سيناقش الفصل السابع 
عشر من هذا الكتاب الإرشادات الخاصة باتفاقيات مستوى الخدمة لتقنية المعلومات 
وكذلك الإرشادات الخاصة بقيمة تقنية المعلومات 178117 الصادرة عن جمعية 18۸٥۸‏ 
وكلاهما هام جداً بالنسبة لحوكمة تقنية المعلومات. لذا ينبغي دائماً على القائمين على 
تقنية المعلومات المؤسسية أن يكونوا على الأقل على علم بتلك القوانين والقواعد وغيرها من 
المعايير الجديدة ومدى تأثيرها في الممارسات الجيدة لحوكمة تقنية المعلومات. 


معلومات أساسية عن صناعة بطاقات الدفع وأمن البيانات 1055 201 والمعايير الخاصة بها: 
بداية من مطلع ستينيات القرن الماضي؛ أصبحت بطاقات الائتمان البلاستيكية ذات 
النقوش البارزة من الأدوات الشائعة وقتها والتي استخدمت بشكل أساسي من قبل رجال 
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معايير أمن البيانات الخاصة بصناعة بطاقات الدفع (001155) وقواعد أخرى لحوكمة تقنية المعلومات 


الأعمال والمهنيين لشراء تذاكر الطيرانء ودفع فاتورة عشاء العملء وشراء وقود السيارة. ولا 
تزال بعض الشركات الأولى في هنذا المجال والمضدرة هده اليظافات العامة موجودة حت 
الآن» كشركة أمريكان إكسبريس 1655م122 «American‏ في حين أن أنواعاً أخرى لبطاقات 
الائتمان كانت تحمل أسماء مثل كارت بلانش 8132616 03116 ودينرز كلوب 1012615 
ط1 مم يعد لها وجود في الوقت الراهن. وقد تم إصدار بطاقات أخرى لإحدى شركات 
الوقود أو أحد المحلات التجارية» وكانت تلك البطاقات مفيدة فقط في شراء مثل هذه 
المنتجات أو في التعامل مع هؤلاء التجار. وقد كانت البطاقة الخاصة بشركة أمريكان 
أكسبريس رائجة بشكل بارز نظراً لاستخدامها لدى العديد من التجار الذين اتفقوا على 
قبول التعامل بها إلا أن إصدارها ظل مقتضراً على النخبة الذين تتوافر لديهم المعايير 
الائتمانية الشخصية القوية وا مفروضة على إصدار مثل هذا النوع من البطاقات. 

في سبعينيات القرن الماضيء ظهرت بطاقات الائتمان فيزا 17153 وماستر كارد 21/135]610021:0 
ومع مطلع الثمانينيات من القرن نفسه ظهرت بطاقة الائتمان ديسكفر 1(150761. حيث 
تم ترخيص وإصدار كل بطاقة من هذه البطاقات عن طريق البنك المحلي الخاص بحاملي 
هذه البطاقات بحيث تتبع ممجموعة مستقلة تكون مسؤولة عن إدارة العلامة التجارية 
الخاصة بالبطاقة ورسوم استخدامها في الأعمال التجارية التي تقبل تلك البطاقة. وقد شاع 
استخدام تلك البطاقات الائتمانيةء بحيث أصبح العديد من المستهلكين هذه الأيام يحملون 
في جيوبهم عدداً كبيراً من البطاقات التي تصدر من بنوك مختلفة. 

ازدهرت البطاقات الائتمانية ونجحت في جميع أنحاء العالم وقد صاحب ذلك (الازدهار) 
زيادة مستوى المخاطر التي تتعلق بالاحتيال على البطاقات الائتمانية وأمنها وحمايتها. 
وبالرغم من أن البنك هو المسؤول عن إصدار مثل تلك البطاقات الاثتمانية للأشخاصء 
فإنه قد تم إنشاء شركات مستقلة لإدارة كل علامة من هذه العلامات التجارية الكبرى 
الخاصة بتلك البطاقات. فعلى سبيل المثالء تقوم إحدى هذه الشركات بالتعامل مع جميع 
بطاقات فيزا كارد 0214 17154, في حين أن هناك شركة أخرى تتعامل مع بطاقات ماستر 
كارد 2135]61031:4. أما فيما يخص أمن تلك البطاقات فقد كانت هناك اهتمامات تكاد 
تكون متشابهة بين تلك الشركات ال معنية بإدارة كل بطاقة من هذه البطاقات» وذلك لإيجاد 
مستوى إضافي من الحماية بالنسبة للشركات المصُدرّة لتلك البطاقات» وذلك عن طريق 
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ضمان أن التجار المتعاملين معهم لابد أن يلتزموا على الأقل بالحد الأدنى من مستويات الأمن 
عند قيامهم بحفظ ومعالجة ونقل البيانات الخاصة بحاملي تلك البطاقات. 

ولإيجاد حل لتلك الاختلافات البسيطة الموجودة بين مختلف أنواع البطاقات الائتمانية 
على نحو أفضل» فقد تم تشكيل مجلس صناعة بطاقات الدفع Payment Card Industry‏ 
[كضنامء (501). وقد كانت قضايا الأمن واختلاف القواعد أحد أبرز المشكلات المثارة بين 
جميع أعضاء المجلس. وفي عام ٠٠١6‏ قامت شركات البطاقات الائتمانية بتوحيد جميع 
السياسات الفردية لكل منهم» وتشكيل مجلس امعايير الأمنية Security Standards‏ 
1ه والذي نتج عنه إطلاق الإصدار الأول من معيار أمن البيانات 255 501. وكان 
عبارة عن معيار وليس قانوناً إلا أنه كان من المتوقع أن يلتزم به جميع التجار الذين 
يستخدمون بطاقات الائتمان. 

وبالنظر إلى كل التغيرات التي جرت على العمليات الخاصة بمعالجة البطاقات الائتمانية في 
السنوات الأخيرة» من خلال مميزات مثل ال معالجة اللاسلكية: والمخاطر الخاصة بالسرقة علاوة 
على سرقة أرقام البطاقات المرخصة وا مخزنة في سجلات أعمال المؤسسة: وغيرها من مخاطر 
الاحتيال المتزايدة» لذا فقد مر معيار 1055 201 بعدة مراحل من المراجعات والتنقيحات منذ 
الإصدار الأول له. وقد يتحقق الالتزام بقواعد المعيار 255 501 من خلال التقييمات الذاتية 
الاختيارية أو التطوعية بالنسبة لصغار مستخدمي 01 إلا أن الامتثال بها يكون إلزامياً 
بالنسبة للشركات الكبيرة التي تقوم بمعالجة تلك البطاقات الائتمانية. وسواء كانت بطاقات 
الدفع تسخدم هذه الأيام من خلال اختصاصيي تقنية المعلومات أو من خلال أي من عمليات 
تشغيل ا مؤسسة» فإنه ينبغي أن يكون لدى مسئولي الأعمال التنفيذيين فهم عام لمعيار 5201 
5 ولدى تأثيرة في العمليات التشغيلية للمؤسسة على الأقل. 

يستعرض الشكل التوضيحي )١-١١(‏ المتطلبات ذات المستوى الرفيع الخاصة بمعيار 201 
5 والأهداف الرقابية المرتبطة به. سنتحدث بتفصيل أكثر في الأقسام التالية عن الغاية 
الكامنة وراء متطلبات هذا ا معيارء وسنوضح المتطلبات الضرورية للحفاظ على بيانات حامل 
البطاقةء ثم سنقوم بالحديث عن طبيعة وأهمية عمليات التقييم الذاتي الخاصة بهذا ا معيار. 
وستتناول فصول أخرى مواضيع مهمة جداً لتحقيق الامتثال الفعال لهذا المعيار. على سبيل 
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المثال» قد ناقش الفصل العاشر من هذا الكتاب القضايا المتعلقة بأمن تقنية المعلومات التى 
تعد من الأمور الهامة بالنسبة للحوكمة الفعالة لتقنية المعلومات. هذه القضايا نفسها 1 
الدرجة نفسها من الأهمية فيما يتعلق بتحقيق الامتثال لمعيار 255 201. 
بالإضافة إلى معيار أمن البيانات 085 فقد قام 201 بإصدار معيارين آخرين لهما 
علاقة بهذا المعيار وهما: 
-١‏ معيار أمن التعاملات الخاصة بالأرقام الشخصية السرية الخاصة ببطاقات الدفع 
.PIN Transaction Security (PCI PTS)‏ وهي مجموعة من المتطلبات 
الأمنية التي ركزت على إدارة الأجهزة المستخدمة لحماية أرقام التعريف الشخصية 
Persona 1dentification Number (PIN)‏ لحاماي البطاقات الإثتمانية 
والأنشطة الأخرى المتعلقة بمعالجة عملية الدفع» متضمناً متطلبات تصميم 
وصناعة ونقل الجهاز إلى المنشأة التي ستقوم بتطبيقة. 
شكل توضيحي (۱-۱۱) 
متطلبات معيار أمن البيانات الخاص بصناعة بطاقات الدفع 255 701 والأهداف الرقابية المرتبطة به 
بناء شبكة آمنة والحفاظ عليها. | .١‏ قم بتنصيب وصيانة بنية الجدران النارية لحماية بيانات 
حامل البطاقة. 
*. لا تستخدم القيم الافتراضية التي يوفرها المورد لتخصيص 
كلمات المرور وغيرها من معاملات الأمن في النظام. 
حماية بيانات حامل البطاقة. أ". قم بحماية البيانات المخزنة لحامل البطاقة. 


.٤‏ قم بتشفير انتقال البيانات الخاصة بحامل البطاقة عبر 
الشبكات العامة والمفتوحة. 


اتباع برنامج لإدارة نقاط الضعف. [0. قم باستخدام برمجيات محدثة بشكل منتظم للتخلص من 
الفيروسات وفحص جميع الأنظمة التي تكون عادة عرضة للبرامج 
الضارة. : 
1. قم بتطوير وصيانة تطبيقات نظم آمنة. 
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تطبيق إجراءات وتدابير قوية | ۷. قم بقصر الوصول لبيانات حامل البطاقة فقط على الأعمال 
وصارمة لضبط الوصول. التي بحاجة إلى معرفة هذه البيانات. 


۸. قم بتخصيص معرف فريد (11 خاص لكل شخص هكنه 
الوصول للبيانات باستخدام الحاسب. 
9. قم بتقييد الوصول الفعلي لبيانات حامل البطاقة. 
مراقبة وفحص الشبكات بشكل أ .٠١‏ قم بتعقب ورصد كل عمليات الوصول موارد الشبكة 
منتظم. وبيانات حاملي البطاقات. 
.١‏ قم بفحص نظم وعمليات أمن البيانات بشكل منتظم. 


ا e‏ ی 
المعلومات. 


۲. معيار أمن المعلومات الخاص بتطبيقات الدفع .Payment Application (PA D55)‏ 
هذا المعيار يخص مطوري البرمجيات والقائمين على تكامل تطبيقات الدفع والتي تقوم بتخزين 
أو معالجة أو نقل بيانات حاملي البطاقات كجزء من عملية الترخيص أو الاتفاقيات التي تتم 
عند القيام ببيع هذه النظم أو توزيعها أو ترخيصها للآخرين. 

وعلى الرغم من العلاقة الوطيدة بين هذين المعيارين الجديدين والمعيار 1055 201, فإننا 
سنركز في حديثنا في هذا الفصل على معيار أمن البيانات الخاصة بصناعة بطاقات الدفع 201 
5. والذي يعد من المعايير الهامة لحوكمة تقنية المعلومات في العديد من المؤسسات. 





حماية بيانات حاملي البطاقات وبرامج إدارة الثغرات الأمنية: 

من السهل نوعاً ما أن يقوم التاجر الصغير بإجراء جميع الترتيبات المصرفية الضرورية 
لتنفيذ المعاملات التي تتم من خلال بطاقة الفيزا أو بطاقة الماستر كارد أو غيرهماء ثم 
يقوم بعد ذلك بوضع أجهزة قارئة أو ما يسمى بأجهزة الماسحات الضوئية من أجل 
قبول تلك البطاقات لإتمام عمليات الدفع الخاصة بالمشتريات. حيث يتم نقل معلومات 
الشراء الخاصة بالبطاقة إلى معالج خاص ببطاقات الائتمان» ثم يحصل التاجر على تمن 
المنتجات التي تم شراؤها. ويتم تحميل فاتورة الشراء على حساب بطاقة الائتمان الخاصة 
بالمشتري. في هذه العملية الشائعة بكثرة. توجد مخاطرة من أكبر المخاطر الأمنية التي 


ro.‏ دليل المسئول التنفيذي لحوكمة تقنية المعلومات 
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يتم تجاهلها غالبا وهي أنه من الممكن أن تتم سرقة رقم البطاقة الائتمانية إلى جانب 
البيانات التعريفية الخاصة بالعميل واستخدامها في أغراض غير مشروعة. نذكر هنا على 
سبيل المثال إحدى الحوادث التي تم فيها التبليغ عن اختراق ما يزيد عن مائة مليون سجل 
من السجلات الخاصة بمعلومات العملاء في الولايات المتحدة على مدار عامين بدأت من 
عام ٠٠١0‏ وانتهت في عام ۲٠١۷‏ . كما أن الاستخدام غير المشروع لتلك الأرقام الخاصة 
بالبطاقات الائتمانية التي تم اختراقها سيعرض كلا من التجار وشركات البطاقات الائتمانية 
وأصحاب البطاقات إلى ا مخاطر. إن الهدف الرئيسي لمعيار 255 201 هو توفير حماية 
كافية لبيانات أصحاب البطاقات المحفوظة في النظام. قد يعتقد المرء أن النظم الخاصة 
بمزودي خدمات البطاقات كبطاقة الفيزا أو الماستر كارد والبنوك المنتسبة لها ستكون 
آمنة (كما تشترط اللوائح المصرفية)» وأنه من المتوقع أيضاً أن يقوم الفرد بحماية بيانات 
البطاقة الائتمانية الخاصة به أو بها. على أية حال جرت العادة أن يقوم أصحاب المحال 
التجارية بمعالجة العديد من أرقام البطاقات الائتمانية مع مرور الوقت. فالمطلب الرئيسي 
معيار 155 201 هو ضرورة أن تقوم المؤسسة بتأمين وحماية البيانات الخاصة بالبطاقات 
الائتمانية. 

المشكلة هنا هي أن أصحاب ا محال التجارية هم من يقومون في أغلب الأحيان بعمليات 
تأمين الكثير من البيانات الخاصة بالبطاقات الائتمانية لعملائهم بصورة غير كافية. وفي جزء 
من الدراسة الكبرى التي جرت عام ۲٠١۷‏ عن أصحاب المحال التجارية في الولايات المتحدة 
الأمريكية والاتحاد الأوروبيء وجدت الشركة الاستشارية فورستر'" ۴٥۲۲۲۲۲‏ أن أصحاب 
المحال التجارية يقومون عادة بالاحتفاظ بكميات هائلة من البيانات الخاصة بالبطاقات 
الائتمانية الخاصة بعملائهم: وتشتمل هذه البيانات على أرقام البطاقات وتواريخ انتهائها 
وأسماء وعناوين أصحابها. تحتفظ المؤسسات عادة بمعلومات أكبر بكثير من مجرد أرقام 
البطاقات الائتمانيةء ولاسيما تواريخ انتهاء البطاقات والأسماء والعناوين والرموز الأمنية. 
وفي ظل الافتقار إلى التدابير والإجراءات الأمنية القوية لتقنية المعلومات المؤسسية: قد 
يؤدي هذا التأمين الضعيف معلومات بطاقات الائتمان إلى العديد من الاختراقات والمشاكل 
الأمنية الجسيمة. 
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في أغلب الأحيان نجد أنه إما أن تكون عمليات التشفير والضوابط الأمنية الأخرى ضعيفة 
أو حتى غير مطبقة. وفي بعض الأحيان يمكن أن تواجة المؤسسات التي تقوم بمعالجة حجم 
هائل من المعاملات مخاطر ناجمة عن التراخي في عمليات معالجة المسائل الضرورية المتعلقة 
بالبطاقات الائتمانية للعملاء. وأمثلة على المخاطر والمشاكل يمكن مشاهدتها من خلال 
الأحداث التي وقعت في شركات تي جا إكس 1772 عام 2٠٠١0‏ والتي تمتلك نحو ١6٠١‏ متجر 
من متاجر التجزئة. فقد تم اختراق نظم الحاسبات الخاصة بها للمرة الأولى بواسطة أحد 
قراصنة (1191©1) شبكة الإنترنت الذي تمكن من اختراق النظام والوصول إلى معلومات 
تتعلق بالتعاملات الخاصة بالبطاقات الائتمانية للعملاءء وقد استمر ذلك لعدة شهور إلى أن تم 
اكتشاف أمره في عام ."”7٠١7‏ وقد اشتملت تلك المعلومات على أسماء العملاء وأرقام بطاقات 
الائتمان الخاصة بنحو ٤٥,۷‏ مليون بطاقة سحب وائتمان تم سرقتها من خلال معاملات تمت 
خلال الفترة من شهر يناير إلى شهر نوفمبر من السنة نفسها. فقد ضاعت خصوصية بطاقات 
الائتمان لدى العديد من العملاء.ء وتعرضت شركة ×[1 لخسائر هائلة سواء كانت على الصعيد 
المادي جراء دعاوى التسوية القضائية أو على الصعيد الخاص بسمعتها. 
إن تلك الواقعة الخاصة بشركات ×[1 ما هي إلا أحد الأمثلة على ا مخاطر التي يمكن أن 
تتعرض لها المؤسسة في حال كانت الضوابط الخاصة ببطاقة الائتمان لديها ضعيفة. ومن المؤكد 
أ لنا تحليل الأحداث الخاصة بمثل هذه الاختراقات الأمنية مجموعة من نقاط الضعف 
الأمنية الشائعة التي يتم معالجتها الآن من خلال معيار 255 01. فقد تم تصميم نوع خاص 
من الضوابط الأمنية لتقنية المعلومات» وهو معيار 155 201 والذي يشتمل على متطلبات 
تفصيلية: تحديداً لهذا النوع من المخاطر - لتقليل فرص التعرض لإفشاء (تسريب) أو سرقة 
البيانات وكذلك تقليل التأثير الناتج جراء هذه السرقة أو إفشاء البيانات في الو قوق ر 
التحقيقات التي تتم بشكل مستمر بعد هذه التعرضات للمخاطر الخاصة بإفشاء البيانات أو 
سرقتهاء بعض وليس كل الانتهاكات الشائعة الخاصة معيار 1255 201 وهي: 
٠‏ ضوابط غير كافية على عملية الوصول للبيانات» وذلك من خلال التركيب غير السليم من 
قبل أصحاب ال محال التجارية لنظم نقاط البيع 505 الأمر الذي يسمح للمستخدمين 
الأشرار من الوصول إلى المسارات التي تستهدف موردي نقاط البيع 505. 
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٠‏ الافتقار إلى التقنيات الخاصة بعمليات التسجيل أو المتابعة. مثل النظم الخاصة بمراجعات 
السجلات والكشف عن التسللات ومنعهاء والنظم المساعدة في إجراء المسوحات الربع 
السنوية لنقاط الضعفء والنظم المسؤولة عن متابعة سلامة الملفات. 

٠‏ تخزين بيانات الشريحة الممغنطة لبطاقات الائتمان. فالعديد من الكيانات التي تم 
إفشاء بياناتها لا يعلمون أن الأنظمة التي لديهم تقوم بحفظ مثل تلك المعلومات» مما 
يوفر كمية هائلة من المعلومات للمتسللين. 

« عدم تغيير الإعدادات وكلمات المرور الافتراضية عند تركيب النظام. هذا بالإضافة إلى عدم 
إزالة الخدمات غير الضرورية وغير الآمنة أو تأمينها أثناء تثبيت النظام. 

٠‏ تطبيقات الويب سيئة التشفير تؤدي إلى نقاط ضعف قد تسمح بالوصول إلى قاعدة 
البيانات التي تحتفظ ببيانات أصحاب البطاقات من إحدى مواقع الإنترنت بشكل مباشر. 

« التطبيق السيئ للضوابط الخاصة بالتطبيقات الشبكية: الأمر الذي يعرض البيئة الخاصة 
ببيانات أصحاب البطاقات عن غير دراية إلى نقاط الضعف الموجودة في أجزاء أخرى من 
الشبكة التي لم يتم تأمينها بعد. كنقاط الاتصال اللاسلكية غير المؤمنة والثغرات الناجمة 
عن استخدام الإيميل وتصفح الإنترنت. 

لسنا هنا بصدد تقديم درس تعليمي حول القضايا الأمنية الخاصة بتقنية ال معلومات» 
وإنما بصا ده تأكيد أن أمن تقنية المعلومات هو أحد العناصر الهامة في حوكمة تقنية 

ا معلومات» وأنه أيضاً أحد العناصر الحساسة في ا معاملات المتعلقة بالبطاقات الائتمانية. إذ 

يستطيع المدير الأول (الأعلى) الاستعانة بالنقاط السابقة ليقوم بتوجيه أسئلة تتعلق بأمن 

وسلامة العمليات التشغيلية في المؤسسة فيما يخص البطاقات الإئتمانية. على كل حال 
ما أن معظم معلومات بطاقات الائتمان يتم نقلها مباشرة من نقاط البيع حيث المكان 
الذي يتم فيه إتمام عمليات البيع عن طريق بطاقات الائتمان: فالقاعدة الأساسية التي 
يجب التأكيد عليها بالنسبة لأصحاب المحال التجارية هي عدم نقل تلك البيانات الخاصة 
بالبطاقات الائتمانية للعملاء داخلياً على الإطلاق. 


دليل المسئول التنفيذي لحوكمة تقنية ا معلومات ror‏ 


الفصل الحادي عشر 


متطلبات معيار 155 201: 
يجب على المؤسسة اتباع الخطوات اللازمة لتحقيق الامتثال لمعيار 255 201, وذلك 

من خلال تضافر الجهود بين كل من العاملين في تقنية المعلومات» والتدقيق الداخلي» 

والقانونيين» والعامليين بالائتمان والشئون المالية. وقد تم تلخيص هذه الخطوات في الشكل 

التوضيحي )١1-1١(‏ حيث سيكون لهذا المعيار المتطلبات التالية: 

٠‏ بناء شبكة آمنة والحفاظ عليها: تحدث الفصل العاشر من هذا الكتاب عن أهمية أمن 
تقنية المعلومات في المؤسسة. إلا أن قواعد معيار 1055 201 تشترط أمرين محددين هنا: 
الأول هو أنه يجب على المؤسسة أن تقوم ببناء وتركيب إعدادات الجدران النارية على 
نظم تقنية المعلومات لديها وصيانتهاء وذلك لحماية بيانات حاملي البطاقات الائتمانية. 
ويعد مفهوم الجدران النارية من المفاهيم الشائعة بين العاملين في مجال أمن تقنية 
آ کا مات غ ا هذا لامر قدلا يكون 5اا لدى المسئول التنفيذي للأعمال. يمكننا 
النظر إلى الجدران النارية لتقنية المعلومات على أنها تشبه أبواب الخروج ذات الاتجاه 
الواحد الموجودة في معظم المسارح. حيث يستطيع الشخص ال مرور من خلال تلك الأبواب 
إلى الخارج في حال اندلاع حريق» ولا يستطيع أحد موجود في الخارج من استخدام تلك 
الأبواب للدخول. وبالرغم من أن الضوابط الخاصة بالجدران النارية أصبحت اليوم شائعة 
الاستخدام في العديد من بيئات أمن تقنية المعلومات» فإنه يتعين على المؤسسة التأكد من 
أنه قد تم تركيب وإعداد تلك الجدران النارية على عناصر نظم تقنية المعلومات لديها 
والتي تشمل البيانات الخاصة بالبطاقات الائتمانية. 

بالإضافة إلى ذلك لا يجب على المؤسسة أن تستخدم الإعدادات الافتراضية المقدمة من 
قبل المورد والخاصة بكل من كلمات المرور 2355590105 وغيرها من المعاملات والمحددات 
الأمنية الأخرى التي يقوم المورد بتقديمها. وهي ببساطة تعتبر من الممارسات الأمنية الجيدة 
التي يتم تجاهلها غالباً. فقد تطلب البرمجيات التي يتم توفيرها من قبل المورد من العملاء 
الجدد إدخال "١176"‏ كلمة مرور أولية عند الإعداد الأولي للتطبيق» ومن ثم تغييرها بمجرد 
تركيب التطبيق. وهناك العديد من المستخدمين الذين لا يُحَمُلون أنفسهم عناء تغيير كلمة 
المرورء وهو الأمر الذي يجعل النظام دائماً عرضة للاختراقات من قبل المتطفلين الساعين 

للوصول إلى البيانات. 


ros‏ دليل المستول التنفيذي لحوكمة تقنية ا معلومات 


معايير أمن البيانات الخاصة بصناعة بطاقات الدفع (001155) وقواعد أخرى لحوكمة تقنية المعلومات 


٠‏ حماية البيانات الخاصة بحاملي البطاقات الإئتمانية: هناك العديد من الضوابط الأمنية 
لتقنية المعلومات التي تندرج تحت هذا المطلب متضمنا ذلك عمل نسخ احتياطية من 
البيانات لاسترجاعها عند الحاجةء وتشفير البيانات أثناء تخزينها ونقلهاء وحفظ كل ما 
يتعلق بوسائط تقنية المعلومات الخاصة بأصحاب البطاقات الائتمانية في مواقع حقيقية 
مؤمنة. وتعد هذه الإجراءات الخاصة بحماية بيانات حاماي البطاقات الائتمانية من 
المطالب الهامة لحوكمة تقنية المعلومات. 

٠‏ اتباع برنامج يقوم بإدارة الثغرات أو نقاط الضعف: تحدث الفصل الثامن من هذا 
الكتاب عن إدارة المخاطر الخاصة بتقنية المعلومات. وكان يجب أن يكون هناك تركيز 
بشكل خاص على التقنيات الخاصة بإدارة المخاطر وتقدير نقاط الضعف والثغرات الأمنية 
بالنسبة للبيانات الخاصة بالبطاقات الائتمانية المخزنة أو التي يتم معالجتها من خلال 
موقع المؤسسة. كما ينبغي أيضا أن يقوم قسم تقنية المعلومات في المؤسسة باستخدام 
برامج محدثة بشكل دوري ضد الفيروسات للتنبؤ بالبرامج الضارة. 

٠‏ تطبيق إجراءات وتدابير قوية وصارمة لضبط الوصول للبيانات: تعد العمليات القوية 
لأمن تقنية المعلومات من الأمور الضرورية لتحقيق هذا المطلب. حيث تستخدم بعض 
التقنيات الرقابية الرئيسية لتحقيق ما يلي: 

ه فرض القيود على عمليات الوصول الحقيقية لبيانات أصحاب البطاقات الائتمانية. 
٠‏ اقتصار عمليات الوصول إلى بيانات أصحاب البطاقات فقط على الأعمال التي تحتاج 

إلى تلك البيانات فعلاً. 

0 تخصيص معرف فريد (11 1701106 لكل شخص يصل إلى البيانات عبر الحاسب الآلي. 
هذه هي بعض الضوابط الرئيسية الخاصة بعملية الوصول إلى تقنية المعلومات. ويمكن 
ممسئولي الأعمال التنفيذيين أن يطلبوا من الموظفين المسؤولين عن أمن تقنية المعلومات 
تقديم شرح تفصيلي عن التقنيات المستخدمة لضبط عمليات الوصول إلى تقنية المعلومات 
في المؤسسة. وعلى الرغم من أن هناك العديد من المصادر المطبوعة وكذلك المنشورة على 
شبكة الويب بشأن معلومات حول الضوابط الخاصة بالوصول وأمن تقنية المعلومات» 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات Yoo‏ 


الفصل الحادي عشر 


فإن مؤلف هذا الكتاب قد قام بوضع كتاب آخر' حول تلك الموضوعات الموجهة لمدققي 
تقنية المعلومات» غير أنها قد تزود مسئولي الأعمال التنفيذيين ببعض الملخصات الجيدة عن 
المعلومات الأساسية لأمن تقنية المعلومات. 

٠‏ مراقبة وفحص الشبكات بشكل منتظم: يجب على المؤسسة تعقب ومراقبة جميع 
عمليات ومحاولات الوصول إلى موارد الشبكة وبيانات أصحاب البطاقات الاثتمانية. 
فبالإضافة إلى الشرط أو المطلب الخاص بالرقابة والتتبع» فإن معيار 701255 يشترط أيضاً 
أن تقوم المؤسسة بفحص النظم والعمليات الأمنية الخاصة بها بصورة منتظمة. وتكون هذه 
المهمة غالباً من مسؤولية وحدة التدقيق الداخلي ومدققي تقنية المعلومات المتخصصين. 
وسنناقش مزيد بالتفصيل في الفصل التاسع عشر من هذا الكتاب قضايا التدقيق الداخلي 
الخاصة بحوكمة تقنية المعلومات. 

7201 اتباع سياسة لأمن المعلومات: تدعو هذه السياسة الأخيرة الخاصة معيار‎ ٠ 
المؤسسات إلى اتباع السياسات التي تعالج قضايا أمن المعلومات. وهذا مشابه جداً‎ 5 
للعمليات الأخرى لحوكمة تقنية المعلومات التي تم الحديث عنها في العديد من الفصول‎ 
المختلفة لهذا الكتاب. وتعد هذه السياسات من الأمور الهامة بالنسبة للمؤسسة للتعرف‎ 
على أفضل الممارسات التي من الضروري تطبيقهاء غير أنه من الضروري أيضاً إيصال تلك‎ 
السياسات لجميع أصحاب المصالح لتكون قواعد عامة يجب اتباعها.‎ 

تعد الشروط أو المتطلبات الخاصة بمعيار 255 501 التي تم ذكرها أعلاه أكثر تحديداً 
من الإرشادات العامة التي سيتم تناولها في هذا القسم. إذ إن أكثر مديري الإدارة العليا 
سيبحثون عن المعايير رفيعة المستوى. في حين سيبحث أخصاني أمن الحاسبات في تقنية 
المعلومات عن متطلبات أكثر تفصيلاً. على سبيل المثالء يحتوي الشكل التوضيحي )۲-٠١(‏ 
على الإرشادات الخاصة بمعيار أمن البيانات 1255 لواحد من هذه المتطلبات. فهذه المعايير 
تكون على مستوى مدقق تقنية المعلومات الماهر أو المتخصص في أمن تقنية المعلومات. 
النقطة الرئيسية هنا هي أنه يجب على المؤسسة إيجاد بعض الإجراءات الرقابية القوية 
للمحافظة على الامتثال لقواعد معيار 255 201. 


ro1‏ دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


معايير أمن البيانات الخاصة بصناعة بطاقات الدفع (155 001) وقواعد أخرى لحوكمة تقنية المعلومات 


بالنسبة للمؤسسات المتوسطة والكبيرة التي مع الوقت قد اكتسبت الخبرة في بناء 
وتشغيل نظم تقنية المعلومات الخاصة بهاء فقد تبدو تلك المتطلبات الخاصة بقواعد 
معيار 1055 201 أكثر قليلا من الممارسات الجيدة للرقابة الداخلية والشائع استخدامها 
والتي تعتبر بمثابة متطلبات رئيسية لتحقيق الإمتثال لقانون :50 كما وضحنا في الفصل 
الثاني من هذا الكتاب. في جميع الأحوال فإن الاختلاف الرئيسي هتاه أن الومسحة لق 
تخضع أبداً لعملية التدقيق الخارجي اللازمة للتصديق على مستوى امتثالها لمعيار 7201 
5. وإنما تدعو المعايير في هذه الحالة معظم المؤسسات التي تمارس القليل من نشاط 
البطاقات الائتمانية للقيام مراجعة وتأسيس امتثالها لمعيار 255 501, وذلك من خلال 
عملية التدقيق والتقييم الذاتي. 

شكل توضيحي (۲-۱۱) 
المتطلبات الخاصة بتتبع ومراقبة الوصول إلى موارد الشبكة وبيانات أصحاب البطاقات 
.١‏ وضع عملية لربط جميع العمليات التي يقوم بها كل مستخدم للوصول إلى مكونات النظام» خاصة 

تلك العمليات التي تتم من خلال الامتيازات الإدارية. 
۲. تطبيق الرقابة الآلية للمسارات على جميع مكونات النظام لإعادة بناء الأحداث التالية: 

- جميع العمليات الفردية التي يقوم بها المستخدم للوصول إلى بيانات أصحاب البطاقات. 


- جميع الإجراءات التي ينفذها المستخدمون أصحاب الامتيازات الإدارية أو الأصلية. 


- الوصول إلى جميع مسارات التدقيق. 
- محاولات الوصول المنطقية غير السليمة. 
- استخدام تقنيات التعريف والتوثيق. 
- تهيئة سجلات التدقيق. 
- إنشاء وحذف كائنات على مستوى النظام. 
. القيام بتسجيل المدخلات ومسارات التدقيق المتعلقة بكل حدث من الأحداث التي تمت على جميع 


مكونات النظام» والتي تشتمل على الأقل على هوية المستخدم ونوع الحدث والوقت والتاريخ ومؤشر نجاح 
أو فشل الحدث وبداية الحدث وهوية كل من البيانات أو مكون النظام أو المورد الذي تأثر بهذا الحدث. 





دليل امستول التنفيذي لحوكمة تقنية المعلومات rov‏ 


الفصل الحادي عشر 


.٤‏ باستخدام تقنية ا مزامنةء قم بمزامنة جميع الساعات والأوقات الحاسمة في النظام وقم بتطبيق 
ضوابط للحصول على الوقت وتوزيعه وحفظه. 
.٥‏ تأمين مسارات التدقيق بحيث لا يُسمح بتعديلها. 


.٦‏ مراجعة السجلات الخاصة بجميع مكونات النظام المتعلقة بالمهام الأمنية مرة في اليوم على الأقل. 


. الاحتفاظ بتاريخ مسارات التدقيق ممدة عام واحد على الأقل, ولا بد أن يكون هناك سجلات لثلاثة 
أشهر على الأقل من التاريخ الحالي متاحة أو متوفرة للتحليل. 





عملية التقييم الذاتي لمعيار 1055 201: 

لكي تتأكد المؤسسة من امتثالها أو اتباعها لبعض المتطلبات الخاصة بأحد المعايين 
فمن الطبيعي ومن الضروري ا الاستعانة بطرف خارجي لفحص هذا الامتثال والتأكد 
من مدى تطبيقه. على سبيل المثالء من الضروري أن يقوم المدققون الخارجيون (مكاتب 
التدقيق الخارجي) - مكاتب المحاسبة القانونية في الولايات المتحدة الأمريكية؛ مراجعة 
القوائم المالية الخاصة بالمؤسسة والتصديق على مدى صحتها. ومن الضروري أيضاً أن 
يكون هناك مراجعون متخصصون مستقلون يقومون بمساعدة المؤسسة على التأكد من 
مدى امتثالها لأي معيار من معايير الأيزو متضمنة تلك التي تحدثنا عنها في الفصل السابع 
من هذا الان :ولكن نظا لوجوة هذة كير ن الخال العخارية - الخ رة تسيا غاا“ 
التي تتعامل مع بيانات البطاقات الإئتمانيةء ونظراً لأن تكلفة الاستعانة بمراجعين خارجيين 
ستكون مرتفعة بعض الشيء؛ فقد سمحت منظمة المعايير الخاصة بصناعة بطاقات الدفع 
للمؤسسات بالقيام بتنفيذ نشاط التقييم الذاتي للتحقق من امتثالها للمعايير الصناعية. 

إن استبيان أو استطلاع التقييم الذاتي Self-Assessment Questionnaire (SAQ)‏ 
الخاص معيار 155 201 ما هو إلا أحد الأدوات المستخدمة لمساعدة أصحاب المحال 
التجارية ومقدمي الخدمات على القيام بعملية تقييم ذاتي لمعرفة مدى التزامهم وامتثالهم 
ممعيار 501155. ويمكننا إيجاد العديد من النسخ التفصيلية الخاصة معايير التقييم 
الذاتي من خلال زيارة الموقع www.pcisecuritystandards.org/security_standards/‏ 
مدام.<06م:. حيث تدعو تلك المعايير الخاصة بالتقييم الذاتي إلى ما يلي: 


FoR‏ دليل المسئول التنفيذي لحوكمة تقنية المعلومات 





معايير أمن البيانات الخاصة بصناعة بطاقات الدفع (01155) وقواعد أخرى لحوكمة تقنية المعلومات 


7201 بناءً على التوجيه الخاص مجلس المعايير الأمنية الخاصة بصناعة بطاقات الدفع‎ ٠ 
حول "اختيار استبانة التقييم الذاتي والتصديق على أفضل تطبيق لها على المنظمة الخاصة‎ 
بك". فإنه يجب على المؤسسة اختيار استبانة التقييم الذاتي المناسبة لمقدمي الخدمات‎ 
وأصحاب ال محال التجارية لديها.‎ 

٠‏ بعد اكتمال الاستبانة المناسبة للتقييم الذاقي ©54 بنجاح» تستطيع المؤسسة التصديق 
على شهادة ذاتية تدل على أنها مؤهلة لتنفيذ (بل وأنها نفذت) بالفعل نشاط التقييم 
الذاتي الخاص بالامتثال لمعيار 1055 501. 

طبقاً لمتطلبات ا معايير الصناعية فإنه ينبغي على جميع المستخدمين الرئيسيين للبطاقات 
الائتمانية الاستعانة مُقَيّم مستقل للقيام بمراجعة هذا الامتثال» وهذا مشابه للمراجعات 
الخاصة بالامتثال بمعايير المنظمة الدولية للمواصفات والمعايير 150 التي تحدثنا عنها في 
الفصل السابع من هذا الكتاب. حتى بالنسبة للمؤسسات الأصغر حجماً. فإن الامتثال 
بمعايير أمن المعلومات ممكن أن يعود بالنفع والفائدة على أعمالهاء في حين أن عدم الامتثال 

بها قد يؤدي إلى عواقب وخيمة وخطيرة طويلة الأجل. إن الامتثال بقواعد معيار 201 

5 هام للأسباب التالية: 

٠‏ الامتثال لمعيار 1055 501 يعني أن النظم آمنة: وأنه هكن للمستخدمين الوثوق با مؤسسة 
فيما يتعلق بالمعلومات الحساسة الموجودة في بطاقاتهم الائتمانية. 

٠‏ الامتثال يحسن من سمعة ومكانة المؤسسة لدى المشترين وشركات المدفوعات من 
أصحاب العلامات التجارية - الشركاء الذين تحتاج إليهم للقيام بالأعمال التجارية. 

الامتثال هو عملية مستمرة ودائمة» ولا هكن أن تكون عبارة عن عملية تحدث مرة 

واحدة فقط. ويساعد الامتثال في منع المخالفات أو الاختراقات الأمنية الحالية والمستقبلية. 

كما يمنع سرقة بيانات بطاقات الدفع. ونظراً لأن عمليات إفشاء (تسريب) البيانات 

أصبحت الآن متطورة أكثر من أي وقت مضىء نرى أن مجلس المعايير الأمنية الخاصة 
بصناعة بطاقات الدفع 201 يعمل دائماً على مراقبة التهديدات وتحسين الوسائل الصناعية 
المستخدمة للتعامل معهاء وذلك من خلال إجراء التحسينات على المعايير الأمنية الخاصة 

بصناعة بطاقات الدفع وإجراء التدريبات اللازمة للمختصين في المجال الأمني. 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات oq‏ 


الفصل الحادي عشر 


كم أن للامتثال فوائد غير مباشرة» فقد يساعد اللمؤسسة على أن تكون في وضع أفضل 
فيما يخص امتثالها بلوائح تنظيمية أخرى مثل قانون إخضاع التأمين الصحي لقابلية النقل 
والمحاسبة Health Insurance Portability and Accountability Act (H1PAA)‏ الذي 
سنتحدث عنه لاحقاً في هذا الفصل» وأيضاً كالامتثال لقانون ساربينز أوكسلي ×80 الذي 
تطرقنا إليه في الفصل الثاني من هذا الكتاب. بعبارة أخرىء يمكن أن نقول إن هذا التقييم 
الذاتي قد يوفر القاعدة الأساسية للإستراتيجية الأمنية للشركةء وقد يحدد أساليب لتحسين 
فاعلية البنية التحتية لتقنية المعلومات. 


قانون جرام ليتش بليلي (/01281313/1-1.8826011-81:11:5) في القواعد الخاصة بحوكمة 
تقنية المعلومات: 

في أواخر تسعينيات القرن الماضي أقر مجلس النواب الأمريي قانوناً لتغيير بعض القواعد 
المعمول بها في المؤسسات المالية القائمة منذ الكساد العظيم الذي حدث في ثلاثينيات القرن 
الماضي. وقد عُرف هذا القانون الجديد رسمياً باسم قانون تحديث القطاع المالي لسنة 
٩۹‏ والذي اشتهر أكثر باسم قانون جرام ليتش بليلي (اعة انا |1 Gram‏ 
84 ). هذا القانون عبارة عن مجموعة من المتطلبات المتعلقة بالخصوصية والهادفة 
لحماية:امعلومآت المالية الشخضية الخاصة بعملاء المؤسنات المالية. ويتكون.هذا القانون 
التشريعي المتعلق بالخصوصية من ثلاثة أجزاء رئيسية هي: )١(‏ قاعدة الخصوصية المالية 
و(١)‏ قاعدة الحماية و() ما يعرف باسم "أحكام التحجج الاحتيالى" (استخدام الأكاذيب 
للوصول لبيانات الآخرين) 101151025م 217]6<]128. بينما لم يسمع ال مهنيون قط بمفهوم 
"التحجج الاحتيالى" الذي جاء به هذا القانونء فإنه سيتم مناقشة هذا المفهوم واعتباراته 
الخاصة بحوكمة تقنية المعلومات الموجودة في مواد أخرى من هذا القانون في الأجزاء 
اللاحقة. هنح هذا القانون 6184 السلطة إلى ماني وكالات وولايات اتحادية أمريكية 
رسمية مختلفة للقيام بإدارتهء كما يفرض هذا القانون أيضاً مجموعة جديدة من القواعد 
المتعلقة بالخصوصية التي يتم تطبيقها على ا مؤسسات المعروفة عموماً باسم "المؤسسات 
المالية". ولا نعني بهذه المؤسسات البنوك» وشركات التورقء وشركات التأمين التقليدية 
فحسب. ولكن نعني أيضاً المؤسسات التي تقدم لعملائها أنواعاً مختلفة من المنتجات 


.1 دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


معايير أمن البيانات الخاصة بصناعة بطاقات الدفع (001155) وقواعد أخرى لحوكمة تقنية المعلومات 


والخدمات المالية كخدمات الإقراضء والوساطة: ومختلف أنواع القروض الاستهلاكية. 
وخدمات نقل وحماية الأموالء وخدمات إعداد الإقرارات الضريبية الفردية. وخدمات 
تقديم النصائح المالية والاستشارات الائتمانيةء وخدمات التأسيس العقاري السكني» 
وخدمات تحصيل القروض الاستهلاكية وغيرها من الخدمات المالية الأخرى. وفي ظل 
قانون 61.84 فإن لجنة التجارة الاتحادية أو الفيدرالية Federal Trade Commission)‏ 
)۴٣‏ هي التي تقوم الآن بالإشراف على تلك "المؤسسات المالية " غير التلقيديةء سواء كان 
ذلك بشكل مباشر أو من خلال الوكالات الرسمية والاتحادية. 

وعلى الرغم من أن ا مدير الأول الذي يعمل لصالح أحد البنوك أو شركات التأمين في الوقت 
الراهن قد يكون هو ال معني بهذا القانون وبأحكام الخصوصية التابعة له. إلا أنه هكن اعتباره 
القاعدة التي تستطيع التأثير في العديد من المؤسسات الأخرىء وذلك بسبب المعنى الواسع 
للمصطلح المعروف "بالمؤسسات امالية". وقد تم تطبيق قواعد هذا القانون على العديد من 
ا مؤسسات المالية الخاضعة للوائح الرسمية. على سبيل المثالء قد تم تنظيم شركات التأمين في 
الولايات المتحدة على أساس كل ولاية على حدةء وذلك من خلال الجمعيّة الوطنيّة لمُفوضي 
التأمين «National Association of Insurance Commissioners (NAIC)‏ والتي تعمل 
بصفة مجموعة مركزية لتنسيق ووضع المعايير لتلك اللجان المعتمدة في الولاية. وأن هذا 
التحالف أو المجموعة 71410 هي التي تفرض قواعد التفويض الاتحادية لقانون 1:84 © 
على شركات التأمين المستقلة التابعة لها وا منظمة من قبل الولاية الموجودة فيها. وهذا مثال 
و يوضح كيف تفل الواح القاتوتية الاتحادية في الولائات المتحدة في تعض |الأحيان :من 
سلطة الدولة الأمريكية كهيئة الأوراق ال مالية والبورصة الأمريكية ©58, المعنية بأمور قانون 
<50: إلى قواعد على مستوى قوانين الولاية الواحدةء هذا إلى جانب بعض القواعد المالية 
العالمية المشابهة. فنحن ننسى غالباً أن بعض اللوائح القانونية للشركات والعديد من المبادئ 
التشريعية الأخرى في الولايات المتحدة تكون فعالة طبقاً لكل ولاية على حدة. فعلى سبيل 
المثالء يتم إصدار رخص قائدي المركبات من قبل كل ولاية على حدة. وبالمثل» فإنه وعلى 
الرغم من أن إدارة الاختبارات الخاصة بالحصول على شهادة محاسب قانوني 084 تتم محلياً 
من قبل الجمعية الأمريكية للمحاسبين القانونيين 4107284. إلا أن رخص ال محاسبين القانونيين 
ئ يتم منحها تبعاً لكل ولاية عن طريق مجلس المحاسبة الخاص بالولاية. فمن خلال 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات ۳ 


الفصل الحادي عشر 


سلطة الجمعية الوطنية لمفوضي التأمينء وهو الكيان المعني بتنسيق القواعد داخل الولايةء 
فقد تم تبني واعتماد قواعد قانون 6184 من قبل معظم الولايات في الولايات المتحدة 
الأمريكية. 


قواعد الخصوصية المالية لقانون 61.84: 

يواجه المستخدمون غالباً هذه الأيام داخل الولايات المتحدة قانون 61.84 وقواعد 
الخصوصية المالية الخاصة به عند استلامهم إشعارات مفيدة من مقدم خدمة البطاقات 
الائتمانية تصف لهم قواعد الخصوصية الخاصة ببطاقاتهم الائتمانية. حيث تشترط قواعد 
الخصوصية المالية لقانون 61.84 من المؤسسات المالية أن تقوم بتزويد عملائها بإشعارات 
وملاحظات حول الخصوصية المالية المتبعة لديهم والتي توضح لهم الممارسات المتبعة في 
المؤسسة المالية لجمع وتبادل البيانات. ويجب أن يكون إشعار الخصوصية هذا واضحاً جداً 
وبارزاً وبه إفصاح دقيق عن ممارسات الخصوصية المتبعة في الشركة. كما يجب أن يحتوي 
هذا اشكر عاق مخلومات قامات القركنة وجمحها عن عملائها وكذلك من اللسديلكن: 
وأيضاً معلومات تتعلق بالجهات التي تتبادل معها الشركة المعلومات الخاصة بالبطاقات 
الاثتمانية» ومعلومات عن الكيفية التي تقوم بها الشركة بحماية وصيانة هذه المعلومات. 
يطبق الإشعار على "المعلومات الخاصة الشخصية" للمستهلكين والعملاء التابعين للشركة 
والتي تقوم الشركة بجمعها والإفصاح عنهاء إلا أنه على الصعيد العملي يمكن أن يطبق على 
معظم أو كل بيانات العملاء ا موجودة لدى الشركة. على سبيل ال مثالء المعلومات الشخصية 
الخاصة قد تكون المعلومات التي يقوم المستهلك أو العميل بإدخالها أثناء استخدامه 
لتطبيقات العقود الائتمانية أو عقود البيع» أو معلومات تتعلق بشخص ما يمكن الحصول 
عليها من مصدر آخر كالمكاتب الائتمانية. أو معلومات عن العمليات التي تتم بين الشخص 
والشركة كا معلومة التي تتعلق بالرصيد الموجود في الحساب مثلاً. في الحقيقة واعتماداً على 
قانون 61:84 يتم تصنيف المعلومات الخاصة بأي شخص يُدرج اسمه في قائمة العملاء أو 
الممستهلكين التابعين لمؤسسة مالية محددة على أنها معلومات خاصة شخصية. ولا تخضع 
ا معلومات التي تعتقد المؤسسة لسبب ما بأنها معلومات عامة قانونياً لقانون 61.84 مثل 
معلومات قروض الرهن العقاري في الجهة القضائية التي يتم تسجيلها علناً. 
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وبناء على قانون 61.84 فإنه يجب أن تحتوي إشعارات الخصوصية على المعلومات التالية: 
٠‏ أنواع المعلومات الخاصة الشخصية للعملاء التي تقوم المؤسسة بجمعها. 
٠‏ أنواع المعلومات الخاصة الشخصية للعملاء التي ستقوم المؤسسة بالإفصاح عنها للآخرين. 


٠‏ الأطراف التي ستبيح لها المؤسسة الاطلاع على هذه ال معلومات» من غير الأطراف الخاضعة 
للحظر في عدم الإفصاح عن المعلومات. 
٠‏ أحقية العميل أو المستخدم بالاعتراض على الإشعار ووجود قواعد توضيحية بسيطة عن 
آلية رفع تلك الاعتراضات. 
٠‏ السياسات المتبعة في المئؤسسة بخصوص مشاركة بيانات شخص م يعد الآن من أحد 
عملائها أو زبائنها. 
٠‏ الإجراءات المتبعة في المؤسسة لحماية خصوصية وأمن المعلومات الخاصة الشخصية 
لزبائنها وعملائها. 
لا يكترث الكثير من المستهلكين هذه الأيام بتلك الإشعارات» على الرغم من أنها يمكن 
أن تصرح عن رغبة الشركة المالكة للبيانات الخاصة بحسابات العملاء بالقيام مشاركة اسم 
العميل مع الآخرين. فبدلا من هذه ا ممارسة ال مستخدمة كثيرا من اطمستهلكينء والتي 
هي إتلاف وإهمال الإشعارات أو الملاحظات» فإن قانون 6184 يعطي الحق للمستهلك 
بأن يقوم بالاعتراض على قيام الشركة مشاركة تلك المعلومات الخاصة به مع الأطراف 
الأخرى. ويجب أن يوضح الإشعار - وغالباً بطريقة معقولة ومنطقية - الطريقة التي يمكن 
اتباعها من قبل المستهلكين لتقديم اعتراضاتهم. على سبيل المثالء طريقة توفير رقم هاتف 
مجاني للاعتراضات والشكاوى أو توفير نموذج منفصل يحتوي على العنوان تعتبر من الطرق 
المعقولة للاعتراض بالنسبة للمستهلكين والعملاء أما مطالبة الأشخاص بأن يقوموا بكتابة 
رسالة اعتراضية كوسيلة وحيدة لتقديم اعتراضاتهم لا تعتبر أبداً طريقة معقولة ومقبولة. 
كما يجب أن يوضح إشعار الخصوصية أيضاً أن للمستهلكين الحق (أن يقولوا لا) بالنسبة 
للسماح بمشاركة معلومات محددة تخصهم. مثل مشاركة معلومات تقرير أو تطبيق 
اثتماني مع الأقسام أو الفروع المستقلة عن المؤسسة المالية. 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات م 
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يضع قانون 6184© بعض القيود على الكيفية التي يمكن من خلالها لأي شخص يستقبل 
معلومات شخصية خاصة من إحدى المؤسسات المالية أن يقوم باستخدام تلك المعلومات أو 
إعادة الإفصاح عنها. فإذا قام المفُرض بالإفصاح عن معلومات العميل مزود الخدمة المسؤول 
عن بيانات الحسابات البريدية - حيث لا يحق للعميل الاعتراض على ذلك - فإنه ينبغي على 
مزود الخدمة هذا أن يقوم باستخدام تلك البيانات لأهداف محددة فقط - كإرسال بيانات 
الحسابات البريدية - ولا ينبغي عليه بيع أو استخدام هذه البيانات لأغراض تسويقية. 

إن مبدأ الخصوصية المالية الخاص بقانون 6184 سيكون أكثر تعقيداً عندما نخوض 
أكثر في أمور تفصيلية تابعة له. في جميع الأحوالء نحن لا نهدف هنا إلى عرض هذا 
الشرح التفصياي المتعلق بتلك الجزئية من قانون 61.84. وإنما هدفنا هو فقط توضيح 
هذه القواعد المتعلقة بالخصوصية وتأثيراتها في حوكمة تقنية المعلومات بشكل عام. لذا 
يجب على مديري المؤسسات إدراك أن كل المعلومات الشخصية الخاصة تعد معلومات 
سرية للغاية ولا هكن القيام ببيعها أو نشرها دون مبرر. وأن للمستهلكين أن يعترضوا وأن 
يقولوا لاء ويجب على المؤسسة الاحتفاظ بشكل ملائم بتلك السجلات الخاصة بالاعتراضات 
المقدمة وأن يتم احترام حقوق المستهلكين في الخصوصية. وينطبق الأمر : نفسه على أي 
مؤسسة تقدم تسهيلات منح ائتمانية ودفع فواتير خاصة بامستهلكين. وتُعَرْض المؤسسة 
نفسها للمخاطر عندما تتعامل مع مبدأ الخصوصية الخاص بقانون 6184 كما لو كان عبارة 
عن أمر بسيط أو تافه أو إلى حد ما هام فعدم الالتزام والإخلاص في التعامل مع أي من 
طلبات الاعتراضات المقدمة» أو البيع غير الصحيح للقائمة البريديةء قد يعرض المؤسسة إلى 
رفع بعض أنواع الدعاوى القضائية جراء الأضرار الناجمة عن عدم الالتزام بمبدأ الخصوصية 
الخاص بهذا القانون. 
قاعدة الحماية في قانون 6184: 

إن قاعدة الأساليب الوقائية لقانون 61:84 تطلب من المؤسسات االية بأن يكون 
لديها خطة أمنية معمول بها لحماية خصوصية وسلامة المعلومات الشخصية للعملاء. 
فعندما يقوم العملاء بفتح حسابات جديدة» أو يقوموا بإجراء عمليات شراء منتجات» 
فإنهم يفصحون عن بعض معلوماتهم الشخصية» كالعنوان ورقم الهاتف أو رقم بطاقة 


e‏ دليل المسئول التنفيذي لحوكمة تقنية المعلومات 
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الاتتمان كجزء من إجراء المعاملات الخاصة بالتطبيق. لذا يجب أن يكون لدى المؤسسة 
خطة أمنية معمول بها لحماية سرية وسلامة هذه البيانات الشخصية التي قام المستهلك 
بالإفصاح عنها. كما يجب أن تشتمل هذه الخطة على ما هو أكثر من مجرد مخاطر 
متعلقة باستمرارية الأعمالء التي تحدثنا عنها بإيجاز في الفصل العاشر من هذا الكتاب» بل 
يجب أن تشتمل أيضاً على ضوابط خاصة لمنع القراصنة 81615 من الوصول إلى ملفات 
البيانات» ومنع الموظفين الموتورين أو الناقمين من الوصول إلى معلومات العملاء ومنع أي 
تهاون ختى لو كان بيطا كما طب قاغدة الأساليب الوقائية الخاصة بقائون 618۸ 
من كل مؤسسة ماليةء بغض النظر عن حجمهاء بل وتفرض عليها بأن تقوم بوضع وتنفيذ 
خطة مكتوبة لأمن المعلومات لحماية بيانات العملاء. بحيث يتناسب نطاق هذه الخطة 
الأمنية ودرجة تعقيدها تناسباً طردياً مع حجم المؤسسة وحساسية المعلومات التي تحتفظ 
بها. ويجب أن تكون هذه الخطة قائمة على عملية تحليل المخاطر التي تعمل على تحديد 
كل التهديدات المتوقعة بالنسبة لأمن وسرية وخصوصية وسلامة معلومات العملاء. وبناء 
على هذه العملية التحليلية للمخاطرء فإنه ينبغي على المؤسسات المالية توثيق وتطبيق 
التدابير والإجراءات الأمنية: التي تضهن أيضاً العذادين والإجراءاتَ الإذارية :مكل تدريت 
الموظفين على وسائل الحماية التقنيةء متضمناً ذلك تدريبات حول استخدام كلمات المرور 
وضوابط التشفير والجدران النارية. كما تشتمل هذه التدابير والإجراءات الأمنية كذلك 
على الاحتياطات الوقائية المادية مثل الأقفال الموجودة على الأبواب وأجهزة الحاسب الآلي. 
كما يجب على المؤسسات المالية أن تقوم بتخصيص واحد أو أكثر من موظفيها لكي يقوم 
بتنسيق وتنظيم تلك الأساليب الوقائية. كما يتعين على تلك المؤسسات أيضا القيام بإجراء 
مراجعات دورية لتحديد ما إذا كانت البرامج الأمنية المتبعة فيها جيدة أم بحاجة إلى 
تعديل في ظل الظروف المستجدة. 

تستطيع المؤسسة أن تثبت امتثالها للقاعدة الخاصة بالأساليب الوقائية من قانون 
0184 من خلال الخطوات التالية: 
-١‏ تحليل المخاطر البيئية المحجيطة: يجب على المؤسسة أن تحدد بشكل رسمي جميع 

المخاطر الداخلية والخارجية المتعلقة بأمن وخصوصية وسلامة المعلومات الشخصية 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات مم 


الفصل الحادي عشر 


لجميع العملاء. وقد سبق الحديث عن الطرق التحليلية للمخاطر في الفصل الثامن 
من هذا الكتاب. ويجب أن تغطي تلك العملية التحليلية مخاطر أو فقدان أو الإفصاح 
عن جميع مصادر المعلومات الشخصية: سواء كانت موجودة على الأنظمة الآلية أم في 
السجلات اليدوية. 


۲- تصميم وتطبيق الإجراءات الوقائية: إن الإجراءات الوقائية هي بالأصل عبارة عن 
إجراءات الرقابة الداخلية التي تم الحديث عنها في الفصل الرابع من هذا الكتاب كجزء 
من إطار الرقابة الداخلية الخاص بلجنة المنظمات الراعية (6050). 

“. المتابعة والتدقيق: يجب أن تكون هناك عمليات متابعة مستمرة لضمان القيام 
بعمليات التدقيق. كما يتعين على الإدارة العليا تشجيع مدققيهم الداخليين بأن يضعوا 
جدولا زمتياً مقط ها لسلسطلة مق المراجعات للتحقق من هدى ملاءمة أو كفايةخطة أن 
المعلومات في المؤسسة إلى جانب اختبارات الامتثال المناسبة. 

.٤‏ برنامج ثابت للتحسينات: نتيجة منطقية لأي نقطة ضعف أو ثغرة يتم الإبلاغ عنها 
من خلال عمليات التدقيق أو أي فحوصات أخرىء فإنه يجب أن يكون لدى المؤسسة 
برنامج معمول به يعمل بشكل مستمر على إجراء التحسينات اللازمة على خطة أمن 
المعلومات لديها. ويجب أن يكون هذا البرنامج موثقاً جيداً وأن يصف التحسينات التي 
طرأت على الخطة. 

5. الإشراف على مزودي خدمات أمن المعلومات والشركاء: قد يكون للعديد من الشركاء 
والمؤسسات الأخرى أحقية الوصول إلى المعلومات الشخصية تلك نفسهاء أو رها يكون 
لديهم فقط إمكانية الدخول إلى وصلات شبكات النظم التي يمكن من خلالها انتهاك 
الخصوصية الشخصية للبيانات. فهناك حاجة لسياسات وضوابط وإجراءات تدقيق 
ملاءمة معمول بها على نحو جيد ممنع الانتهاكات. 
تُطبق قاعدة الأساليب الوقائية لقانون 6184 على مجموعة كبيرة من مزودي المنتجات 

والخدمات المالية». متضمنين وسطاء الرهن العقاري وجهات الإقراض غير المصرفية والمثمنين 

ووكالات إعداد التقارير الائتمانية ومعدي الضرائب ال مهنيةء هذا بالإضافة إلى تجار التجزئة 
الذين يقومون بإصدار بطاقات ائتمانية خاصة بهم وبأعمالهم. ولا تَخضّع البنوك لقاعدة 


۳1 دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


معايير أمن البيانات الخاصة بصناعة بطاقات الدفع (001155) وقواعد أخرى لحوكمة تقنية المعلومات 


الأساليب الوقائية الخاصة بقانون 61884. ولكنها يجب أن تمتثل للوائح تنظيمية مناظرة 
أو مشابهة لها قد تم إصدارها من قبل الوكالات الاتحادية للأعمال المصرفية. وقد ينتج عن 
عدم الامتثال لقاعدة الأساليب الوقائية لقانون 6184 فرض الغرامات أو بعض الإجراءات 
التنفيذية من قبل هيئة التجارة الفيدرالية .Federal Trade Commission (FTC)‏ 


قوانين حظر التحجج الاحتيالي 8«ذنااءاءم في قانون 61.84: 

هنع قانون 61.84 "التحجج الاحتيالي" - ذلك التعبير الذي يشير إليه المدقق الإملائي 
في برنامج معالج النصوص وورد 117014 على أنه خطأ إملائي - والذي يقصد به استخدام 
الادعاءات والأساليب الكاذبة» متضمناً ذلك استخدام البيانات ال مزورة, أو القيام بانتحال 
شخصية ما من أجل الحصول على المعلومات المالية الشخصية الخاصة بالعملاء مثل معرفة 
الأرصدة البنكية الخاصة بهم. حيث يقوم المزورون أو المخادعون باستخدام مجموعة 
متنوعة من الأساليب للحصول على المعلومات الشخصية. على سبيل المثالء قد تقوم 
إحدى المخادعات بإجراء مكالمة هاتفية تدعي فيها العمل لدى شركة تقوم بإجراء دراسات 
استقصائيةء ثم تقوم بطرح بعض الأسئلة التي تهدف من خلالها إلى الحصول على اسم 
أحد البنوك على سبيل ال مثال» ثم تقوم بعد ذلك باستخدام تلك المعلومات التي قامت 
بالحصول عليها لتقوم بإجراء مكالمة هاتفية مع المؤسسة المالية التي تحتفظ بمعلومات 
الشخص المستهدف متظاهرة بأنها هي ذلك الشخص المستهدف أو بأنها هي الشخص الذي 
يملك صلاحية الوصول إلى حسابه. وقد تدعي بأنها نسيت دفتر الشيكات الخاص بها وأنها 
بحاجة لمعلومات عن الحساب. فبهذه الطريقة قد تتمكن تلك المخادعة من الحصول على 
بعض المعلومات الشخصية للضحية المستهدفة كرقم الضمان الاجتماعي أو رقم الحساب 
البنكي أو رقم بطاقة الائتمان أو معلومات عن التقارير الائتمانية أو وجود وحجم المدخرات 
الشخصية والمحافظ الاستثمارية. 

وبموجب أحكام قانون 61:84 الخاصة بالادعاءات الاحتيالية» فإنه من غير القانوني لأي شخص: 


٠‏ أن يستخدم بيانات أو وثائق مزورة أو وهمية أو مخادعة للحصول على أي معلومات 
شخصية'للعملاء:من اللؤسسة اطالية أو:من عميل المؤسسة المآلية يشكل مباشر. 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات للق 


الفصل الحادي عشر 


٠‏ أن يستخدم وثائق مزيفة أو مفقودة أو مسروقة للحصول على معلومات العميل من 
اة أكالية أو فكل هافر من غفل اللَومسَة اة 

٠‏ أن يطلب من شخص آخر الحصول على معلومات عميل ما باستخدام بيانات كاذبة أو 
وهمية أو احتيالية أو باستخدام وثائق مزورة ووهمية ومخادعة أو وثائق مسروقة أو 
مفقودة أو مزيفة. 

تؤدي مثل تلك الادعاءات الاحتيالية إلى نوع جديد من المخاطر المتعلقة بالأمن 

والخصوصية: أو يمكن القول بأنها ستعرضنا إلى ما يعرف بسرقة الهوية 116۴ تنام 106. 

ويحدث هذا عندما يقوم شخص ما بسرقة المعلومات التعريفية الشخصية الخاصة بك 

لفتح حسابات سداد جديدة أو لطلب سلع ومنتجات أو للقيام باقتراض الأموال. وعادة 

لا يكتشف هؤلاء الضحايا المستهدفون من قبل لصوص الهويات الشخصية بأنهم ضحايا 

حتى يعجز هؤلاء السارقون عن دفع فواتير أو سداد قروض وتبدا جهات التحضيل مطالبة 

الضحايا المستهدفين بتسديد الحسابات التي لا علم لهم بها أصلاً. ووفقاً لهيئة التجارة 

الفيدرالية 210 فإن النماذج الأكثر شيوعاً في سرقة الهويات هي: 

٠‏ الاحتيال على بطاقات الائتمان: فتح حساب بطاقة ائتمان باسم مستهلك ما أو الاستيلاء 
على حساب بطاقة اثتمان موجود بالفعل. 

٠‏ الاحتيال في خدمات الاتصالات: يقوم سارق الهوية بطلب خدمة هاتف أو هاتف نقال 
أو غيرها باسم المستهلك. 

الاحتيالات البنكية: فتح حساب سوء كان جارياً أم ادخارياً باسم مستهلك ما وكتابة 
شيكات مزورة. 

٠‏ القروض الاحتيالية: يقوم سارق الهوية بطلب قرض ما كقرض شراء سيارة مثلاً باسم 

هناك قانون اتحادي مستقل مرتبط بقانون 0184 ألا وهو قانون منع سرقة الهوية 
والادعاءات الواهية The Identity Theft and Assumption Deterrence Act‏ » والذي 
اعتبر بأنه يعد جرهة فيدرالية أن يقوم شخص ما بشكل متعمد وبدون أي سلطة قانونية 
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معايير أمن البيانات الخاصة بصناعة بطاقات الدفع (55 1 001) وقواعد أخرى لحوكمة تقنية المعلومات 


بنقل أو باستخدام الوسائل التعريفية الخاصة بشخص آخر بقصد ارتكاب نشاط غير 
قانوني أو التخريض عليه وأن ذلك يشكل انتهاكاً للقانون الفيدرالي» E‏ 
وفقاً لأي قانون يمكن تطبيقه على مستوى الولاية أو محلياً. يعد كلمن الست أو رقم 
الضمان الاجتماعي "وسائل تعريفية'» وكذلك الأمر بالنسبة لرقم البطاقة الائتمانية أو الرقم 
التسلسلي الإلكتروني للهاتف الخلوي أو أي جزء آخر لمعلومات قد تستخدم بمفردها أو 
بالاشتراك مع غيرها من المعلومات لتحديد هوية شخص محدد. 

قانون 61:84 هو أحد القوانين التي بمقدورها التأثير على العديد من كبار المديرين» 
خاصة هؤلاء الذين يعملون في المؤسسات المالية على اختلاف أنواعها. وحيث إن العديد 
من جوانب قانون 6184 تهدف بالمقام الأول إلى حماية المعلومات المالية للعملاء فقد 
أصبح الأمر الدارج إلى حد كبير هو أنه من المحتمل أن يكون لقانون 61:84 آثار على 
مجموعة كبيرة من المؤسسات في الولايات المتحدة. لذا يجب على المؤسسات امالية والمانئحة 
للائتمان أن تكون أكثر إداراكاً لقواعد قانون 6184 وقواعد الخصوصية العامة التابعة له 
والتي يمكن تطبيقها على العديد من المؤسسات الأخرى. وتعتبر شبكة الويب هي الملصدر 
الأفضل بشكل مطلق للحصول على معلومات إضافية تفصيلية وحديثة عن قانون 6184 
وأحكامه. وهناك مصدران جيدان لهذا الغرض هما: 

618۸ لجنة التجارة الاتحادية: يقدم هذا المصدر الحكومي نظرة عامة على قانون‎ -١ 
ومعظم قواعده الحالية. على الراابط التالي:‎ 

http://business.ftc.gov/privacy-andsecurity/gramm-leach-bliley-act 

؟- الجمعية الوطنية للمفوضي التأمين: وهي مؤسسة تنظيمية توجد في كل ولاية على 
حدة» حيث تمتلك كل مؤسسة من هذه المؤسسات التنظيمية معلومات عامة عن قانون 
6184 يمكن الاطلاع عليها عن طريق زيارة الموقع 11 هذا بالإضافة إلى 
العديد من مواقع الويب الأخرى التي تغطي مواضيع ذات صلة بشكل تفصيلي. 

على الرغم من أن قانون 61.84 لا يزال أحد العناصر الهامة في تشريعات الولايات 
ا متحدةء فإنه ظل إلى حد ما بعيداً عن الأنظار منذ عام ١‏ في ظل المتطلبات المعقدة لما 
يعرف بقانون دود فرانك kصه0044-۴۲.‏ حيث يعمل هذا القانون على تنفيذ التغيرات 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات ۳۹ 


الفصل الحادي عشر 


التيء من جملة أمور أخرىء تؤثر في العمليات الرقابية والإشرافية على المؤسسات االية, 
وتقدم أيضاً إجراءات حازمة جديدة للشركات المالية الكبرىء وإنشاء وكالة جديدة مسؤولة 
عن تنفيذ وفرض الامتثال للقوانين المالية التي تخص المستهلكء وطرح متطلبات رأسمالية 
تنظيمية أكثر قوة, والمساهمة في إحداث تغيرات كبيرة وهامة في اللائحة التنظيمية لما 
يسمى بالمشتقات الماليةء وتعديل اللوائح التنظيمية الخاصة بوكالات التصنيف أو التقييم 
الائتماني» وإحداث تغيرات على حوكمة الشركات وا ممارسات التنفيذية للتعويضات» واشتراط 
تسجيل المستشارين للحصول على تمويل خاصء والمساهمة أيضاً في إحداث تغيرات كبيرة في 
سوق التورق. أي أنه معنى آخرء يمكن القول إن هذا القانون قد أحدث الكثير من الأمور 
والتغيرات. 

يعتبر هذا القانون واحداً من العناصر المعقدة في التشريع وقد تمت صياغة المسودة 
الخاصة ببنود هذا القانون في الوقت الذي كان فيه هذا الكتاب تحت الطباعة. ومن 
خلال استطلاعنا المحدود على هذا التشريع» تبين أن لهذا القانون بعض الاهتمامات المباشرة 
في حوكمة تقنية المعلومات. في جميع الأحوال يعد هذا القانون عنصراً آخر من عناصر 
التشريع التي أسهمت في وضع قواعد جديدة للعديد من المؤسسات هذه الأيام. 


قانون إخضاع التأمين الصحي لقابلية النقل والمحاسبة (11124.4): العناية الصحية وأكثر: 

سيُطلب من المدير المقيم في الولايات المتحدة الذي يقوم بزيارة الطبيب هذه الأيام 
لإجراء الفحوصات السنوية أو لأي إجراءات أخرى أن يوقع على ما يشبه موافقة خطية 
تهدف إلى السماح بالإفصاح عن معلوماته. وذلك قبل الشروع في عمل الفحوصات» وذلك 
أثناء قيامة بإجراءات حجز الكشف عند وصوله مكتب الاستقبال. حيث يتم موجب هذه 
الوثائق الحصول على موافقة المريض أو المريضة على السماح بمشاركة السجلات الطبية 
الخاصة به أو بها أو الإفصاح عنها على أنها جزء من الإجراءات الخاصة بهذه الزيارة الطبية. 
وإذا قام هذا المدير المريض بالسؤال عن سبب ذلك الإجراء تكون الإجابة غالباً بأن هذا 
الإجراء هو "أحد المتطلبات القانونية الخاصة بقانون 1112448". ويكون رد الفعل الطبيعي 
للمريض عادة هو القيام بالتوقيع على تلك الوثائق المطلوبة والاستمرار بالإجراءات دون 
أن يكون هناك فهم تام للغاية الحقيقية من الحصول على هذا التوقيع. فعلى الرغم من 


32 دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


معايير أمن البيانات الخاصة بصناعة بطاقات الدفع (55 1 001) وقواعد أخرى لحوكمة تقنية المعلومات 


مجموعة القواعد الخاصة بالعناية الصحية الواردة في قانون 111244 فإنه يحتوي أ 
على قواعد تشريعية أخرى تتعلق بالخصوصيةء تذهب إلى ما هو أبعد من العناية الصحية, 
وسوف تؤثر في العديد من المؤسسات وكذلك المدققين الداخليين التابعين لها. 

يتطلب العمل في الولايات المتحدة الأمريكية سواء كان ذلك في شركة صناعية أو مؤسسة 
خدمات مالية أو الكثير غيرهاء أن يكون لدى كبار المديرين مستوى فهم وإدراك عام 
لقانون 1112844 وقواعده. فقد صدر هذا القانون عام 1999م وتم إصدار القواعد النهائية 
له خلال السنوات اللاحقة لتلك السنة. وقد كان لقانون 11۴۸4 أثر كبير في الولايات 
المتحدة الأمريكية في خصوصية وأمن معلومات السجلات الطبية الشخصية وعلى العديد 
من السجلات الشخصية الأخرى. يتعرض الأفراد لقانون 111248 عند قيامهم بزيارة إحدى 
العيادات الطبية الخاصة بأحد الأطباء أو عند تعرضهم للعديد من المسائل الطبية الأخرى 
المتعلقة بالأمور الطبية. كما تشهد أيضاً إدارات الموارد البشرية في المؤسسات أثر ونتائج 
متطلبات قانون 111244 هذه الأيام على إدارتها لسجلات مخططات الرعاية الصحية 
والمعالجات الطبية الخاصة با موظفين لديها. ومن المؤكد أن هذا القانون قد تسبب أيضاً في 
إحداث آثار كبيرة ومتزايدة وبدرجة غير مسبوقة على مجمل قطاع الرعاية الصحية وعلى 
جميع مقدمي خدمات الرعاية الصحية التابعين له. والأهم من هذا كله أن قواعد هذا 
القانون قد شملت مجموعة كبيرة من عمليات الأعمال القائمة على التجارة الإلكترونية. 


لهذا القانون التشريعي الأساسي أربعة أهداف: 

-١‏ التأكيد على إمكانية نقل التأمين الصحي من خلال إزالة القيود والشروط الوظيفية التي 
كانت موجودة في السابق. وقد كان ذلك بمثابة المحفز الرئيسي الذي أدى إلى إقرار 
قانون 111244. حيث كان في السابق يتم إجراء العمليات التشخيصية والفحوصات 
اللازمة للأشخاص في ظروف وتحت شروط معينة:» ولكن بعد ذلك كان أغلب هؤلاء 
الأشخاص لا يستطيعون الحصول على تغطيات صحية جديدة عند قيامهم بتغيير 
الجهات التي يعملون بهاء وذلك لأن عملية مشاركة المعلومات المتعلقة بتلك الحالات 
الصحية الخاصة بهؤلاء الأشخاص مع الآخرين كانت في كثير من الأحيان تتم بشكل 
غير مرن. 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات فق 


الفصل الحادي عشر 


؟- الحد من عمليات الغش والاحتيال وسوء المعاملة في كل ما يتعلق بأمور الرعاية 
الصحية. فقد أدت تلك الكلمات التي تم طرحها في جلسات الاستماع الخاصة داخل 
الكونجرس الأمريكي عندما تم الاستشهاد ببعض الأمثلة عن الاحتيال وسوء المعاملة 
المزعومة إلى تشريع هذا القانون. 
- فرض معايير خاصة با معلومات الصحية. وقد تم تغطية ذلك من خلال قواعد 
الخصوصية والأمن الواردة في قانون 111244 والتي سنوجزها لاحقاً. 
-٤‏ ضمان أمن وخصوصية ال معلومات الصحية. 
سيقدم هذا القسم نظرة عامة وموجزة عن أهداف قانون 111044 والقواعد الناتجة 
عنه والتي تغطي مسائل حوكمة وخصوصية وأمن تقنية المعلومات. وعلى الرغم من عدم 
طرح جميع الجوانب والقضايا المتعلقة بقانون 11۶44 في هذ الكتاب» فإننا نتحدث عنه هنا 
على أنه قانون تشريعي آخر تقوده "القواعد الجديدة" التي لا تزال تؤثر في العديد من كبار 
المديرين في المؤسسات. إن التقدم الذي حدث في هذا القانون التشريعي يوضح ويفسر آليات 
العمل المتبعة لوضع وإقرار القوانين التي تتم تحت رعاية وإشراف الجهات الحكومية ال معنية. 
في البداية» كان الإصدار الأول لقواعد قانون 111244 على شكل مسودة تابعة لأحد اللوائح 
التي كانت قد نشرت في وقت مبكر. وقد كان هناك العديد من الملاحظات والتعليقات 
الموجودة على تلك المسودات. وكان لا يزال هناك المزيد من الملاحظات والتعليقات على 
مسودات لقواعد منقحة ومحسنة تم إصدارها لاحقاً وقد تم إصدار نسخ القواعد الأخيرة 
الخاصة بهذا القانون في وقت متأخر جداً عما كان مخطط له في الأصل. 


قواعذ الخصوصية لسجلات المرضى وفقاً لقانون 11۶۸۸: 

كانت الاهتمامات والمخاوف المستمرة المتعلقة بمسائل الخصوصية الطبية للمرضى 
من الأسباب التحفيزية الرئيسية التي جعلت الكونجرس الأمريكي يوافق على إقرار قانون 
44 ]. فعندما نقوم بزيارة إحدى المراكز المتخصصة بتقديم خدمات الرعاية الطبية, 
ممناقشة بعض ال مخاوف أو مشكلة ماء فإننا نتوقع بعد ذلك أن تتم المعالجة بطريقة سرية 
وخا للغاية: فحن ال ترب مكلا في أن يتم إرسال النتائج الخاصة بالزيارات التي قمنا 


r‏ دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


معايير أمن البيانات الخاصة بصناعة بطاقات الدفع (001155) وقواعد أخرى لحوكمة تقنية المعلومات 


بها للمراكز والعيادات الطبية إلى إدارة الموارد البشرية التابعة للأماكن التي نعمل بهاء 
أو أن يتم إرسال تلك النتائج لإحدى شركات التأمين التي لا تربطها أي علاقة با لموضوع 
وليست بحاجة للعرفة تلك النتائج» أو أن يتم ترك تلك النتائج على أحد مكاتب الاستقبال 
الخاصة بمقدمي الخدمات الطبية ليقوم بعد ذلك شخص ما بالتقاطها والتصرف فيها بكل 
سهولة. والأسوأ من هذا كله» هو أننا لا نرغب في أن تتم مشاركة تلك النتائج أو المعلومات 
أو أي مسائل شخصية وسرية بصورة قد تحد من فرص وخيارات التوظيف المس تقبلية 
الخاصة بنا. هذا الخوف أو القلق المرتبط مسألة خصوصية المعلومات الشخصية» هو 
السبب الأساسي وراء العديد من قواعد قانون 1112424. من ناحية أخرىء فهناك العديد 
من الأطراف التي ترغب في الحصول على معلومات تتعلق بشروط الرعاية الصحية لدينا 
لتقديم تغطية صحية وتعويضات مالية ملائمة» ومن الناحية العملية فإنه يمكننا القول بأن 
جميع العمليات التشغيلية الخاصة بتقديم خدمات الرعاية الصحية تحتاج إلى نظم داعمة 
تفصيلية ومعقدة جداً. وتغطي قواعد قانون 111284 خمسة مجالات عامة سنتحدث 
عنها جميعاً بشكل موجز في الفقرات التالية. إ هد الفقرات :هنا اهدع طبه شاملة 
قراب :هذ القانون اوسن العرض ها هو أن تكون مضدرا مر جعي لك القواعل» 5اا 
تهدف إلى إعطاء المهنيين من خارج القطاع الطبي لمحة عامة عن القواعد الجديدة التالية 

الخاصة بقانون 11124848. 

-١‏ استخدامات السجلات الطبية والإفصاح عنها: ينبغي على المؤسسة الخاضعة لقواعد 
قانون 11۶44 أن تتخذ الخطوات اللازمة للحد من استخدام المعلومات الطبية الشخصية 
والإفصاح عنها ليكون ضمن "الحد الأدنى الذي لا بد منه لإنجاز وإتمام الغاية التي من 
أجلها تم استخدام تلك البيانات أو الإفصاح عنها أو طلبها" في القضايا والأمور غير 
العلاجية. وسنبدأ في طرح النظرة العامة عن قواعد قانون 11۶۸4 بكلمات وعبارات 
مقتبسة بشكل مباشر من نصوص تلك القواعد. كاستخدام عبارة the minimum"‏ 
"necessary‏ بمعنى "الحد الأدنى اللازم" في الجملة السابقة. حيث يحتوي القانون على 
العديد من الأمثلة الخاصة بهذه الإرشادات التوجيهية المتعلقة بالممارسات التي تختارها 
المؤسسة لكي تتحقق من مدى صحتها من خلال الاطلاع على أحكام وتداعيات أخرى 
سابقة كانت قد وقعت على مر السنين. 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات vr‏ 


الفصل الحادي عشر 


جاء هذا القسم من قواعد قانون 111244 لتوضيح أن المعلومات الصحية الشخصية 
الخاصة بشخص ما ستفقد حماية هذا القانون 11۶۸4 لها في حال كان هناك نقص في 
ايمر فات الخاصة بهذا الشخص المْعني بهذا القانونء كعدم احتواء تلك المعلومات الصحية 
E‏ أي من المحددات أو المعرفات الثمانية عشر الخاصة بمعلومات حول هذا الشخص 
وعلاقاته أو علاقاتها وأصحاب العمل وأفراد أسرته أو أسرتها. إن هذا المطلب يقول الكثير 
عن قانون 111244. فلتحقيق الامتثال لنظام المعلومات الصحية الخاص بقانون #1۴۸۸ 
قام هذا القانون التشريعي بتحديد تلك الثمانية عشر معاملاً التي يجب أن يستخدمها أي 
أخصان تقنية معلومات أثناء قيامه بتنفيذ عمليات استرجاع البيانات من قاعدة البيانات 
بهدف تحديد هوية شخص ما. هذا يعني» أنه سواء كانت المعلومات الطبية الخاصة 
بشخص ما موجودة في ملف أو في نظام معلوماتي محمي ضد عمليات الإفصاح العام 
للآخرين» فإنه من الممكن مشاركة تلك المعلومات مع الآخرين في ظروف وشروط معينة. 
۴- متطلبات التفويض أو التصريح: هذا القسم في 111044 هو الذي يتعرض له معظم 
مستخدمي خدمات الرعاية الصحية. لذا يجب أن يحصل مقدمو خدمات الرعاية 
الصحية على موافقة خطية تتعلق بالسماح لهم بالإفصاح عن جميع المعلومات الخاصة 
بالرعاية الصحية باستثناء بعض حالات الطوارئ. وللشخص الحق في عدم الموافقة على 
مثل هذا الأمر الذي يتعلق بالإفصاح أو الكشف عن معلوماته الطبيةء وهناك شرط 
حاسم وقوى يفرض على مقدمي خدمات الرعاية الصحية القيام بالاحتفاظ بالسجلات 
الضرورية للقيام بتتبع جميع العمليات المتعلقة بهذه الإفصاحات. وكما ذكرنا سابقاً 
فإن هذا هو ما يُطلب من الشخص التوقيع عليه عند قيامه بزيارة أحد المراكز أو 
العيادات الطبية من خلال تقديم مجموعة من الوثائق التي تحتاج إلى توقيعه. 
"- نشر الممارسات المتعلقة بالخصوصية: يجب أن يكون لدى مقدمي خدمات الرعاية 
الصحية ممارسات وإجراءات منشورة للخصوصية التي ينبغي عليهم توفيرها المستخدمي 
المستفيدين من خدمات الرعاية الصحية المقدمة. بعد ذلك يحق للأفراد أن يطلبوا بشكل 
رسمي المزيد من القيود والمحددات التي يرغبون فيها على تلك السياسات المتبعةء ويجب 
على مقدمي الخدمات الصحية استيعاب جميع الطلبات المعقولة وا منطقية للمستخدمين. 


Ve‏ دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


معايير أمن البيانات الخاصة بصناعة بطاقات الدفع (01155) وقواعد أخرى لحوكمة تقنية المعلومات 


-٤‏ حقوق الوصول للسجلات الطبية والتعديل عليها: للأشخاص الحق في فحص أو نسخ 
(جزئي أو كلي) للمعلومات الصحية الشخصية الخاصة بهم. كما أن لديهم الحق في طلب 
إجراء تعديلات مناسبة على تلك السجلات الصحية الخاصة بهم. كما يجب أن يقوم 
مقدمو الرعاية الصحية بالاحتفاظ بسجلات عن جميع الأطراف التي طلبت الوصول إلى 
تلك السجلات الشخصية للمعلومات الصحية الخاصة بهم خلال الشهور الستة الأخيرة. 

-٥‏ إدار الخصوصية في قانون 11۴44: بالذهاب إلى ما هو أبعد من قواعد الوصول للسجلات 
والإفصاح عنهاء فإن لدى قانون 111284 مجموعة واسعة من المتطلبات المتعلقة بإدارة 
الخصوصية. ويتم تطبيق هذه المتطلبات أو القواعد على ما يعرف بالكيانات المشمولة 
Entities"‏ 0016160" كالعيادات الطبية والمختبرات وا لمستشفيات وكل ما له علاقة بأمور 
الرعاية الصحية الشخصية. وتشتمل القواعد الخاصة بإدارة الخصوصية على ما يلي: 

« ينبغي على مقدم خدمات الرعاية الصحية تعيين "موظف خصوصية "Privacy Official‏ 
يكون مسؤلا عن الأمور المتعلقة بالخصوصيةء بحيث يكون هو المعني بقضايا تطوير 
وتطبيق تلك الإجراءات والسياسات الخاصة بقانون 111244. 

٠‏ ينبغي على مقدم خدمات الرعاية الصحية أن يقوم بتدريب أعضاء كادر العمل أو الموظفين 
لديه على التعاطي مع سياسات وإجراءات قانون 11۶۸4 المتعلقة بالخصوصية: كما 
يجب عليه الاحتفاظ بالوثائق التي تثبت بأن هذه التدريبات قد تمت فعلاً. 

٠‏ ينبغي على مقدم خدمات الرعاية الصحية أن يمتلك ضمانات وتدابير أمنيةء وإدارية, 
35 وماةية مكمولة وها لسوانة خضوضية اللعلومات ال ا( 

Appropriate ينبغي على مقدم خدمات الرعاية الصحية تطبيق "العقوبات المناسبة‎ ٠ 
على الموظفين غير الملتزمين بتلك الإجراءات والسياسات المتعلقة بالخصوصية.‎ 5 

٠‏ ينبغي على مقدم خدمات الرعاية الصحية إيجاد وتطبيق السياسات والإجراءات 
المصممة لتحقيق الامتثال أو الامتثال لعناصر موجودة في اللوائح التنظيمية الخاصة 
بقانون 111244. كما يجب الاحتفاظ بتلك الوثائق الرسمية ممدة ستة أعوام» سواء 
كانت مكتوبة على أوراق أم على شكل نماذج إلكترونية. 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات vo‏ 


الفصل الحادي عشر 


وعلى الرغم من أن تلك القواعد الخاصة بقانون 111284 تشمل بالمقام الأول عمليات 
الوصول للمعلومات الصحية الشخصية: فإنها ذكرت مجالات أخرى تحدد ممارسات تشغيل 
جيدة يجب أن يتم تطبيقها في أي مكان آخر في داخل المؤسسة. والمثال على ذلك هو 
تضمينها لشرط الاحتفاظ بالوثائق المتعلقة بالبرامج التدريبية التي تم إنجازها من قبل 
مقدمي خدمات الرعاية الصحية. فقد تم وضع هذا النوع من القواعد أو المطالب في البداية 
للبرامج الطبية للإدارة الاتحادية للعقاقير أو برامج الدواء. أما الآن فإن هذه القواعد تمثل 
جزءاً أساسياً من قانون 111244 وتعتبر فكرة جيدة بالنسبة لمعظم البرامج التدريبية في 
الشركات. فا مؤسسات في بعض الأحيان تنفق الكثير من مواردها الخاصة في تدريب موظفيها 
إلا أنها لا تكلف نفسها غالباً عناء القيام بتوثيق هذا النشاط التدريبي على نحو جيد. 
إن لهذه القواعد وغيرها من القواعد المذكورة في هذا الفصل أهمية خاصة بالنسبة 
للمسؤول التنفيذي الذي يعمل في إحدى المؤسسات التي لها علاقة بالمسائل المتعلقة 
بالرعاية الصحية كا مستشفيات أو شركات التأمين الطبي. فضلاً عن أن هذه القواعد تتسع 
تمتد لتصل إلى مجالات أخرى مثل معالجة المطالبات الخاصة بالتأمين الطبي في إدارة 
ا البشرية لإحدى السات أو المتعلقة بسلامة مرافق ا مصنع والتبليغ عن الحوادث 
الصناعية. يجب أن يكون لدى جميع المؤسسات المعنية بقضايا الرعاية الصحية أيضاً قواعد 
وإجراءات امتثال قوية لقانون 11124.4: إلا أن تقديم وصف تفصيلي لمثل هذه القواعد 
والإجراءات المتبعة ليس من ضمن نطاق وأهداف هذا الكتاب. على كل حال فإن الامتثال 
لقانون 111044 يعد أيضاً مطلباً ف العديد من البيئات الأخرى. يوضح الشكل التوضيحي 
(11-") بعض إجراءات حوكمة تقنية المعلومات فيما يخص قانون 11۴44 التي يجب أن 
تكون موجودة ومفعلة في أي مؤسسة خاضعة لقانون 11]12484]. 


التشفير ومتطلبات الأمن في قانون 24 11124: 

بالإضافة إلى قواعد الخصوصية المتعلقة بالتفويض والإفصاح عن السجلات الطبيةء فإن 
قانون 1112844 يحتوي أيضاً على بعض متطلبات أمن تقنية المعلومات التي تم تحديدها 
بدقة والتي يصعب تطبيقها في العديد من المؤسسات الصغيرة. فهو يدفع على حدود 
الممارسات الأمنية لتقنية المعلومات (زيادة حجم الممارسات الأمنية التقنية) بالنسبة 


1 دليل المستول التنفيذي لحوكمة تقنية المعلومات 


معايير أمن البيانات الخاصة بصناعة بطاقات الدفع (55 1 001) وقواعد أخرى لحوكمة تقنية المعلومات 


للعديد ويحتاج بعض الأمور كالقيام بتأمين التوقيعات الإلكترونية على الرغم من محدودية 
التقنيات الناضجة أو الفعالة فنياً المستخدمة حالياً لتوفير مثل هذه التوقيعات الإلكترونية 
الآمنة في ظل وجود الشبكات المفتوحة كشبكة الإنترنت. فنحن لا زلنا في المرحلة التي قد 
يتمكن فيها أحد القراصنة المهرة لنظم الحاسبات من اعتراض أو اختراق إحدى مكالمات 
الهاتف الخلوي التي تتناول بعض المواضيع والمسائل المتعلقة با معلومات الخاصة بالرعاية 
الصحية» الأمر الذي يعتبر بمثابة اختراق لمتطلبات الأمن والسرية لقانون 11۲۸44. ستتغير 
التقنية في المستقبل وستتحسن إجراءات الضبط والرقابة وسيزداد ذكاء وخبرة القراصنة 
وسيتم تسوية هذه الاختراقات والانتهاكات في المحاكم. 

لقد كان السبب الرئيسي وراء وضع مثل تلك القواعد السرية هو عدم ملاءمة وكفاية 
العديد من نظم إدارة تقنية المعلومات الخاصة بالرعاية الصحية التي كانت موجودة قبل 
قانون 111۶۸44. ففي كثير من الأحيان نرى أن المؤسسات يمكنها تحسين هذه النظم الأمنية 
لا عن طريق شراء وتركيب برمجيات جديدة فحسب» بل عن طريق تحسين السياسات التي 
EE‏ وقد تم الانتهاء من قواعد المعايير الأمنية الخاصة بقانون 111244 
ووضعها حيز التنفيذ في شهر إبريل من عام .٠٠٠۲‏ إلا أنه لم يتم تفعيل معايير الامتثال 
لتلك القواعد حتى عام .٠٠١7‏ ومن بين المجالات الأخرى التي تشملها هذه القواعد ما 
يطلق عليه قانون 111244 اسم "الوحدات المشمولة 1811165 00176160" والتي تشمل: 
٠‏ الأطباء وغيرهم من الذين يقومون بتقديم خدمات الرعاية الصحية والذين يقومون 

بمعالجة مطالبات الرعاية الصحية بشكل إلكتروني. 
٠‏ الخطط الصحية ها فيها مؤسسات التأمين الذاتي. 
٠‏ دور المقاصة الخاصة بالخدمات الصحية - لخدمات الفواتير وغيرها والذين يقدمون 
خدمات تهيئة البيانات الخاصة بالمطالبات الإلكترونية المقدمة. 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات للق 


الفصل الحادي عشر 


شكل توضيحي (۳-۱۱) 

المتطلبات والإجراءات الخاصة بحوكمة تقنية ا معلومات في قانون 1]1244. 
.١‏ يجب أن يتم تعريف المؤسسة على أنها أحد المؤسسات المعنية بتقديم خدمات الرعاية الصحية 
والخاضعة لقانون 111044. (إن كان هذا غير متوفرء فليس هناك حاجة لاستكمال باقي الخطوات). 
۲. للامتثال لقانون 11۴۸4۸ وللخطة التنفيذية العامة الموضوعة لهذا القانونء فلا بد من تعيين 
موظف رسمي مسؤول عن أمن ا معلومات المتوفرة على مستوى ابلؤسسة. 
۴. لا بد من وضع وتنفيذ سياسات وإجراءات لحماية المعلومات الصحية الخاصة بالمرضى. 
ع. يجب أن يكون هناك عمليات معمول بها للقيام بعمليات الدعم والرقابة المستمرين لقواعد قانون 
HPA A‏ ولوائحه. 
.٥‏ يجب أن تتضمن عمليات قانون 111244 سياسات وإجراءات وضوابط وتقنيات شاملة فيما يتعلق 
بمسائل الخصوصية والأمن. 
.٦‏ لا بد أن يكون للمؤسسة خطة رسمية للطوارئ معمول بها تتضمن ما يلي: 
٠‏ التحليلات الحساسة للتطبيقات والبيانات. 
٠‏ خطط النسخ الاحتياطي للبيانات. 
٠‏ خطط التعافي من الكوارث :(72ع01ع16 ]121595 
٠‏ خطة للعمليات التشغيلية خلال حالة الطوارئ. 
٠‏ الفحص والتنقيحات الدورية المقترحة للخطة. 


۷. يجب أن تشتمل عمليات قانون 1112448 على عمليات رسمية لضبط الوصول إلى البيانات» والتي 
تتضمن أيضا العمليات المتبعة للحصول على إذن الوصول للبيانات وقواعد إنشاء الاتصال بالبيانات 
والإجراءات اللازمة لتعديل الوصول إلى البيانات. 
۸. يجب أن تشتمل الضوابط الموضوعة مراقبة عمليات الوصول إلى الوسائط الخاصة بنظم المعلومات 
على العمليات التالية: 

٠‏ المساءلة. 

٠‏ نسخ احتياطية للبيانات. 


٠‏ تخزين البيانات. 
٠‏ التخلص من البيانات. 





PVA‏ دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


معايير أمن البيانات الخاصة بصناعة بطاقات الدفع (001155) وقواعد أخرى لحوكمة تقنية المعلومات 


9. يجب على الإجراءات أو السياسات الأمنية الشخصية أن: 
٠‏ تضمن الإشراف على موظفي الصيانة من قبل شخص مطلع ومفوض بذلك. 
٠‏ تحتفظ بسجلات كاملة عن التصريح بالوصول للمعلومات. 
٠‏ تضمن حصول موظفي التشغيل والصيانة على تفويض أو إذن وصول مناسب. 
٠‏ توفير إجراءات إجازة الموظفين . 
.٠‏ يجب أن يكون هناك إجراءات رسمية معمول بها لإنهاء الخدمات» والتي تتضمن تغيير مجموعة 
مناسبة من الأقفال والإزالة من قوائم الوصول أو الحصول على البيانات. 
.١‏ يجب أن تشتمل ضوابط الوصول الفعلي للنظم والمعلومات في جميع أنحاء المؤسسة على: 
٠‏ خطط عمليات التشغيل في حالة الطوارئ. 


٠‏ مراقبة وضبط المعدات داخل وخارج ال منشأة. 


٠‏ خطط أمن المرافق. 
٠‏ إجراءات التحقق من تصاريح الوصول قبل الوصول الفعاي إلى النظم والبيانات. 
٠‏ سجلات الصيانة. 
٠‏ الإجراءات اللازمة لمعرفة عمليات الوصول للنظم والبيانات بالنسبة للذين يصرح لهم ذلك. 
تسجيل الذخول للزوار والمرافقين إذا كان ذلك مناسياً. 
٠‏ فحص وتنقيح خطة الوصول الفعاي للبيانات. 
۲. يجب حماية جميع الشبكات والاتصالات من خلال: 
٠‏ الخروج التلقاني. 
٠‏ الهوية الفريدة للمستخدم. 
٠‏ كلمات المرور وأرقام التعريف الشخصية 21215. 


ه أنظمة الرد الهاتفية. 





دليل المسئول التنفيذي لحوكمة تقنية المعلومات ۷۹ 


الفصل الحادي عشر 


يعني ذلك أن قواعد الأمن والسرية الموجودة في قانون 11184 يتم تطبيقها على 
جميع المؤسسات» سواء كانت عبارة عن عيادة يوجد بها طبيب واحد أم مستشفى کا أو 
ا فعا ها في معالجة المطالبات الخاصة بقضايا الرعاية الصحية التابعة لها من 
خلال التأمين الذاتي. 
قواعد الأمن والسرية هي العنصر الرئيسي في قانون 11۶44 المعني بالحفاظ على 
خصوصية المعلومات الصحية الشخصية. وتغطي هذه القواعد ممارسات جيدة فيما 
يتعلق بالأمن والسرية لما هو أكثر بكثير من مجرد حماية للسجلات الطبية» كالمتطلبات 
الخاصة بالمعايير القوية للتعافي من الكوارث. تحتوي القواعد المنشورة لقانون 111244 
على نوعين من القواعد هما: قواعد مطلوبة أو إلزامية "۵١۲إ1ا٩٠۸"‏ وقواعد غير إلزافية 
"eاressab "Ad‏ كما أطلق عليها القانون. هذا النوع الأخير يمثل القواعد التي لا يطلب 
من المؤسسة القيام بتنفيذها أو تطبيقها نظراً لصغر حجمها أو قلة مواردها. أما القواعد 
الإلزامية لقانون 111244 فتمثل العديد من الممارسات الجيدة في مجال أمن المعلومات 
التي تناسب جميع المؤسسات. هناك مجالات أمن أخرى في قانون 11۶۸۸ لكنها خارج 
نطاق وأهداف هذا الكتاب» كالمتطلبات الخاصة في بيئة البنية التحتية الرئيسية العامة 
والتي تتضمن التوقيعات الرقمية. 


الإجراءات الإدارية الأمنية لتقنية المعلومات في قانون 1112484: 

يحتاج قانون 11۴44 إلى إجراءات إدارية معمول بها لحماية سلامة البيانات 
وخصوصيتها وإتاحتها. ويجب أن يتم توثيق هذه الإجراءات بحرص وعناية لكل قاعدة من 
قواعد قانون 511844. يعرض الشكل التوضيحي )6-1١1(‏ بعض هذه الإجراءات الإدارية 
الإلزامية "Required"‏ كما يوضح هذا الشكل أا القواعد التنفيذية لكن بطريقة ٠‏ عامة 
جداء أما بالنسبة للقواعد المنشورة لقانون 111844 فقد جاءت بشكل أكثر تفصيلاً. إن 
العديد من هذه المتطلبات كخطة الطوارئ الموثقة والمختبرة أو السياسات الرسمية لضوابط 
الوصول للمعلومات» تكون مشابهة لإجراءات الضبط والرقابة التي أوصى بها المدققون 
الداخليون على مر السنين. بعضها هثل الممارسات الجيدة في حوكمة تقنية المعلومات التي 
ينبغي أن تكون معمولاً بها في العديد من المؤسسات. على سبيل المثالء يشير الشرط رقم ۲ 


۰ دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


معايير أمن البيانات الخاصة بصناعة بطاقات الدفع (01155) وقواعد أخرى لحوكمة تقنية المعلومات 


في الشكل التوضيحي )2-1١(‏ إلى الحاجة إلى ما يسمى سياسة العقوبات - وهي مجموعة 
رسمية من القواعد التي تطبق على الأشخاص الذين يخترقون سياسة الأمن. إنها لفكرة 
جيدة بالنسبة إلى معظم المؤسسات هذه الأيام, وكقاعدة إدارية» أن يتعرض مقدم خدمات 
الرعاية الصحية الخاضع لقانون 111244 للجزاءات إذا تم اكتشاف عدم ملاءمة وكفاءة 
القواعد والإجراءات المتبعة لديه. 

وتشتمل المتطلبات الأمنية لقانون 11198844 أيضاً على القواعد الوقائية المادية المشابهة 
لضوابط الوصول الفعلي للبيانات التي كانت موجودة على مراكز البيانات الخاصة بتقنية 
المعلومات والتي تعود إلى الأيام الأولى لأجهزة الحاسبات المركزية الضخمة 0550036 نهتط. 
في جميع الأحوال» استطاع قانون 11۴۸4 هنا أن يتخطى حدود مركز عمليات التشغيل 
التقليدي لتقنية المعلومات» ويدعو إلى إيجاد إرشادات توجيهية ووثائق قوية تتعلق 
باستخدام محطة العمل والموقع. وعلى الرغم من أنه قد جرت العادة ألا تقوم إدارة 
تقنية المعلومات ومدققوها الداخليون بإثارة العديد من المخاوف لدى الرقابة الداخلية 
التي تتعلق بالضوابط المادية للأجهزة الطرفية المتصلة من خلال الربط الشبكي في البيئة 
الخاصة بمنشأة الأعمالء إلا أن بيئات العناية الصحية الخاضعة لتنظيم قانون 111244 
تطرح العديد من القضايا الجديدة. فقد تكون محطة عمل البيئة الطبية التي ربما يكون 
فيها أطباء وممرضون وغيرهم من الموظفينء بحاجة إلى ضوابط منطقية ومادية قوية 
لحماية الخصوصية الشخصية لسجلات ا مرضى التي يمكن أن يتم تسريبها من خلال تلك 
المحطات. 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات ۳۸۱ 


الفصل الحادي عشر 


شكل توضيحي )6-١١(‏ 
المواصفات المطلوبة لتطبيق قانون 1112484 
أحكام للوحدات المشمولة "0076264" كجزء من خطة الأمن والامتثال لقانون 111244. 


.١‏ تحليل المخاطر: يجب على المؤسسات إجراء تقييم أو تقدير كامل للمخاطر المحتملة المتعلقة 
بسرية وسلامة وإتاحة البيانات. 

۲. إدارة المخاطر: يجب على المؤسسات المشمولة تطبيق تدابير أمنية ملانمة ومعقولة للحد من 
المخاطر وإبقائها ضمن المستوى المقبول (لتكون تحت السيطرة). 

. سياسة العقوبات: لا بد من تطبيق العقوبات والجزاءات على أعضاء الكادر الوظيفي الذين 
يخترقون السياسات الأمنية المتعلقة بالخصوصية في ا مؤسسة» كتطبيق سياسة من نوع "ثلاثة أخطاء 
5 أنت مطرود من العمل" ' (وهي السياسة التي تفرض المزيد من العقوبات على هؤلاء الأشخاص 
الأب يَذانون فغرمة خطيزة لها أنهم كانوا قد أدينوا سابقاً باثنتين من القضايا الخطيرة أيضاً). 

ع. الإبلاغ عن إعداد تقارير بشأن نشاط أمن نظم المعلومات: لا بد من التبليغ عن سجلات أمن المعلومات 
وتقارير الحوادث وغيرها من التقارير المتعلقة بالأنشطة الأمنية والقيام مراجعتها بشكل منتظم. 

ه. إجراءات الاستجابة للحوادث: لا بد من وجود عمليات معمول بها لتحديد الحوادث الأمنية 
والتحقيق فيها والتخفيف من آثارها وتوثيقها. 

. إجراءات النسخ الاحتياطي: لا بد من وجود إجراءات معمول بها للتعافي من أي خسارة أو فقدان 
للبيانات. 

. التعافي من الكوارث: ينبغي على كل مؤسسة مشمولة بالقانون أن تقوم بوضع الإجراءات المناسبة 
التي تغطي أي فقد للبيانات. 

۸. حالة الطوارئ الخاصة بعمليات التشغيل: لا بد من وجود عمليات معمول بها لضمان أمن وسرية 
معلومات المرضى عندما يكون التشغيل في حالة الطوارئ. 

.٩‏ العقود التجارية ذات العلاقة. يجب على المؤسسة تضمين أسلوب في عقود الموردين يشترط على 
المورد تبني تدابير أمنية كافية للإبلاغ عن الحوادث الأمنية التي تقع في المؤسسة وضمان تطبيق المقاولين 
الفرعيين (مقاولي الباطن) للتدابير الأمنية الملائمة وفسخ العقد في حال تبين وجود أي اختراقات أمنية. 


.٠١‏ التخلص من معلومات المريض: لا بد من وجود سياسات وإجراءات معمول بها لمعالجة الأرشفة 
النهائية لمعلومات المريض وحفظها. 





AY‏ دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


معايير أمن البيانات الخاصة بصناعة بطاقات الدفع (001155) وقواعد أخرى لحوكمة تقنية المعلومات 


.١‏ إعادة استخدام الوسائط: لا بد من توفير العمليات المعمول بها لضمان إزالة المعلومات الحساسة 
من الوسائط الإلكترونية كمشغلات الأقراص قبل القيام بإعادة استخدامها. 


۲. معرف فريد لهوية المستخدم: يجب تخصيص محددات أو معرفات فريدة لجميع مستخدمي 
النظم لمنع مشاركة الحسابات ولتتبع سلوك النظام. 


۳. إجراءات الوصول للبيانات في حالة الطوارئ: لا بد من إيجاد إجراءات تسمح بالوصول إلى 
المعلومات الإلكترونية ف حالات الطوارئ. 

.٤‏ التوثيق: لا بد من إيجاد إجراءات لضمان أمن وسرية المعلومات والحفاظ على الوثائق طمدة ست 
سنوات ومراجعتها بشكل دوري. 





الخدمات والآليات الخاصة بالأمن التقنى: 

تتطلب قواعد قانون 111244 وجود عمليات معمول بها لحماية سلامة وسرية وإتاحة 
بيانات السجلات الطبية ومنع الوصول غير المصرح به لأي من البيانات المرسلة عبر شبكات 
الاتصال المستخدمة. تحتاج هذه القواعد غالبا إلى ضوابط أكثر قوة وصرامة من تلك 
الموجودة في بعض المؤسسات الكبيرة. وتتضمن هذه الضوابط الأمور التالية: 

٠‏ ضوابط الوصول إلى البيانات: لا بد من إيجاد آليات رقابية قوية تعتمد على سياق 
البيانات أو دور أو مركز المستخدمين المصرح لهم. هذا بالإضافة إلى العمليات الرقابية 
التي يجب دانما أن تكون في موضع التنفيذ للسماح بالحصول على البيانات في حالات 
الطوارئ بواسطة العمليات التشغيلية لمركز البيانات إذا تطلب الأمر. 

51۶۸۸ ضوابط التدقيق: يوجد مطالبات هنا وفي جميع القواعد الأخرى لقانون‎ ٠ 
بضرورة وجود ضوابط تدقيق قوية» والتي تتضمن وجود أمور كعمليات التنقيح أو‎ 
التعديل للتوثيق وعمليات مراقبة الآثار والمسارات التقليدية الخاصة بالتدقيق.‎ 

٠‏ اعتماد صحة البيانات: هناك حاجة إلى ضوابط نظم قوية لحماية وسلامة البيانات. 

٠‏ اعتماد الكيان: لا بد من وجود ضوابط معمول بها بحيث أنه عندما تحاول إحدى 
محطات العمل الوصول إلى محطة عمل أخرىء فلا بد أن يكون مصرحا لها القيام بذلك. 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات AY‏ 


الفصل الحادي عشر 


وقد تتضمن هذه العملية استخدام ضوابط لكلمات المرور أو الرد الآلي على الهاتف أو 
حتى ضوابط المقاييس الحيوية. لقد تخطى هذا المطلب حدود الكثير من ممارسات 
ا مؤسسات المطبقة هذه الأيام» حيث يتم مشاركة أو تبادل البيانات بكل سهولة وحرية 
من خلال رسالة البريد الإلكتروني ومرفقاتها. 
٠‏ ضوابط الاتصالات والشبكة: هناك مجموعة واسعة من الضوابط المقترحة هنا مثل 
التنبيهات والتشفير والإبلاغ عن الأحداث والتصديق على الرسائل وغيرها. يجب على 
المؤسسة الخاضعة لقانون 111044 أن تقوم بتنفيذ شبكة آمنة جداً. 
يقتضي قانون 111884 أن تمنح الضوابط الخاصة بالتوقيع الإلكتروني البيانات الموقعة 
إلكترونياً الوزن القانوني نفسه للمستندات الورقية التي وقع عليها توقيعاً تقليدياً. حيث 
ينص قانون 111۶44 على سلامة الرسائل الشبكية وعدم إنكار واعتماد المستخدم لأي رسالة 
تحتوي على توقيع إلكتروني. وقد يشكل هذا تخا إضافياً بالنسبة للعديد من الأشخاص. 
وتستخدم اليوم عمليات التوقيع الرقمي أو الإلكترونيء إلا أنها مرهقة بعض الشيء ولن 
تكون إلزامية حتى يتم تطوير تقنيات جديدة أفضل لضمانها. 

أسهمت قواعد قانون 111044 في تقدم العديد من المجالات المتعلقة بأمن وسلامة 
تقنية المعلومات. وعلى الرغم من أن هذه القواعد قد وُحِدّت من أجل المؤسسات اللمعنية 
بتقديم خدمات الرعاية الصحية, فإنها ستؤثر في العديد من المؤسسات الأخرى. لذا يتعين 
على كبار المسؤولين التنفيذيين محاولة الحفاظ على مستوى عام من المعرفة الخاصة بتلك 
القواعد السارية ومعاييرها المطلوبة حتى وإن كانوا لا يعملون بشكل مباشر في إحدى 
مؤسسات تقديم خدمات الرعاية الصحية. وقد قمنا في هذا الفصل بتقديم نبذة مختصرة 
جدا عن تلك القواعد ال معقدة والهامة في الوقت نفسه. وبالذهاب إلى ما هو أبعد من 
بخرة مؤيساة #الرعاية الفح فان هذه الفا تطيق أنضا كلما كان شاك جات 
مرتبطة بالأمور الصحية يتم الاحتفاظ بها من قبل إدارة الموارد البشرية. ويستطيع أي 
مدير مهتم أن يحصل على المزيد من المعلومات المتعلقة بقانون 111284 من هذين 
المصدرين الهامين: 
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معايير أمن البيانات الخاصة بصناعة بطاقات الدفع (001155) وقواعد أخرى لحوكمة تقنية المعلومات 


Department of Health and Human Services .١‏ .11.5 (وزارة الصحة والخدمات 
البشرية الامريكية): نسخ من قواعد قانون 11۲۸4 ووسائل دعم مرجعية أخرى هكن 
الحصول عليها عن طريق زيارة الموقع: 
www.hhs.gov/ocr/privacy/hipaa/understanding/summary/index.html‏ 


'؟. Advisories‏ 111244 (الإرشادات الخاصة بقانون 111244): وهو موقع تشرف 
عليه نظم فونيكس ذ2006 الصحية كموقع خدمات عام ويعتبر واحداً من المصادر 
الجيدة للحصول على معلومات عن قانون 111244 والموجود في العنوان: //:ماغط 
www.phoenixhealth.com‏ 
يعد الامتثال لقواعد قانون 111244 مطلباً قانونياً في الولايات المتحدة الأمريكية. 
ولأن مدققي الحكومة لا يقومون بزيارة المستشفيات أو مرافق الرعاية الضحية الكبيرة 
ومن المؤكد أيضاً أنهم لا يقومون حتى بزيارة إدارات الموارد البشرية الخاصة بالمؤسسات 
التجارية, فالشخص الذي يشعر أن هناك انتهاكاً أو اختراقاً لهذا القانون» يستطيع أن يتقدم 
بشكوى مباشرة إلى وزارة العدل الأمريكية ([00) عءناقنا[ 04 .Departme۲‏ وقد يحدث 
هذا بالتأكيد عندما تصبح بعض المعلومات الرئيسية ا موجودة في سجلات الموظف الخاصة 
بالتعويضات المطلوبة من شركات التأمين مكشوفة ومعروفة للعموم بسبب اختراقات أمن 
وسرية تلك السجلات. فلدى وزارة العدل الأمريكية [00 نهج الامتثال الطوعي للشكاوى. 
لذا ينبغي على كبار المديرين المهتمين أن يكونوا على دراية ومعرفة ولو على أقل 
تقدير بالمستوى الرفيع أو الخطوط العريضة لقواعد قانون 11۶44 وبقضايا حوكمة تقنية 
المعلومات المرتبطة بها. فهم أحد الأسباب القوية الأخرى لجعل المؤسسة تقوم بتطبيق 
ضوابط قوية تتعلق بالأمن والخصوصية في أي مجال من شأنه أن يؤثر في السجلات الطبية 
أو الصحية الخاصة بالموظفين. 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات YAO‏ 


الفصل الحادي عشر 
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الفصل الثانى عشر 
بيان خدمات تقنية المعلومات: تحقيق قيمة أكبر من عمليات 
تشغيل تقنية المعلومات 


كما تحدثنا في الفصول السابقةء كان المستخدمون في الأيام الأولى لنظم تقنية المعلومات 
يلجؤون إلى مديري قسم تقنية المعلومات أو الموظفين المسؤولين عن النظم لديهم 
ومطالبتهم بأن يقوموا بإجراء تعديلات أو ترقيات للنظم القائمة حاليا أو أن يقوموا بإطلاق 
نظم جديدة. وقد كانت معظم تلك المطالب لا تتعدى كونها تقارير ورقية جديدة أو 
تقارير بصيغ وأشكال مختلفة. وقد اشتكى هؤلاء المستخدمون في كثير من الأحيان من سوء 
خدمات تقنية المعلومات إما بسبب تأخير تسليم مشاريع النظم التي قاموا بطلبها أو لأن 
تلك النظم المنجزة لم تكن على مستوى توقعاتهم أو لوجود العديد من المشاكل الأخرى. 
وكان ذلك قبل ظهور الإنترنت» أي في الأيام التي كانت فيها نظم وخدمات تقنية المعلومات 
محدودة جداً. وقد جرت العادة بأن يقوم هؤلاء المستخدمون بتلخيص جميع احتياجاتهم 
واستكمال نموذج من نماذج الطلبات الرسمية الخاصة بخدمات تقنية المعلومات التي 
يرغبون فيها. ثم يقوم قسم تقنية المعلومات بمراجعة الطلبات المقدمة والتي كانت في 
الغالب يتم التصديق عليها ووضع جدول زمني لإتمامها في أقرب وقت ممكن - أحياناً يكون 
الوقت المحدد للبدء في تنفيذ الطلب مناسباً وقريباً من وقت تقديم الطلب» ولكن في كثير 
من الأحيان يكون غير مناسب ومتأخراً كثيراً عن وقت تقديم الطلبات. 

أما اليوم فإن خدمات تقنية المعلومات تعد أكثر تعقيداً من كونها مجرد تقارير مالية 
وتشغيلية والتي كان يتم تقديمها بصورة منتظمة في السنوات الماضية. في كثير من الأحيان 
نرى أن مستخدمي النظم هذه الأيام بحاجة إلى إجراء تحاليل من نوع خاص تعتمد على 
مخرجات أنظمة أخرى قائمة بالفعل. وقد يكون لدى مستخدمي النظم بعض الاحتياجات 
المتعلقة بتوقيت إجرائي استثنائي تفرضه متطلبات رفع تقارير قانونية دولية» أو قد يكون 
لديهم اهتمام بإحدى التقنيات الجديدة التي شاهدوها في إحدى العروض التجارية 
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الفصل الثاني عشر 


ويرغبون في مشاهدة مثلها في المؤسسة التابعين لها. ويكون هتاك غالباً العديد من النظم 

والأدوات المتاحة لدى إدارات تقنية ا معلومات» إلا أن أعضاء إدارات مجتمع المستخدمين لا 

يكونون غالبا على علم بخدمات تقنية المعلومات المتاحة من خلال إدارة تقنية المعلومات 

في المؤسسة التابعين لها. وعلى غرار قائمة الطعام التي تقدم إلينا عند زيارة أحد المطاعم» 

فإن قسم تقنية المعلومات يستطيع أن يساعد مجتمع المستخدمين لديه عن طريق تقديم 

قائمة أو بيان بالخدمات التقنية المتاحة لديهم. ويستفيد مستخدمو موارد تقنية المعلومات 
غالا فة انات الخاضة يخدواك :تقنية اوماق غيدن] يقومون بط كلك 

الخدمات أو جدولتها. 

إن بيان خدمات تقنية المعلومات 2]3108ء 5615166 11 عبارة عن قائمة بالخدمات التي 
ينبغي على قسم تقنية المعلومات في المؤسسة أن يقدمها للموظفين والعملاء وغيرهم من 
أصحاب المصالح. وتحتوي عادة كل خدمة من خدمات تقنية المعلومات التي يتم وصفها 

في بيان كهذا على ما يلي: 

٠‏ وصف الخدمة: وهي قائمة بتطبيقات أو عمليات تقنية المعلومات الموجودة في الخدمة 
والتي قد يحتاج إليها المستخدم في إدارته. ويجب أن تتناسب هذه التطبيقات مع مجمل 
العمليات التشغيلية للأعمال ومتطلبات النظم الأخرى الخاصة بها. 

٠‏ الأطر الزمنية أو اتفاقيات مستوى الخدمة (51.45) اللازمة لاستيفاء الخدمة: تعد 
اتفاقيات مستوى الخدمة من المعاملات الثنائية (تحتوي على طرفين) التي تأخذ شكل 
اتفاق داخلي أو عقود غير رسمية بين إدارة تقنية المعلومات والمستخدمين. وتعتبر هذه 
الاتفاقيات من الأدوات الهامة جداً في حوكمة تقنية المعلومات التي سيتم الحديث عنها 
بمزيد من التفصيل في الفصل السابع عشر من هذا الكتاب. الفكرة هي أنه يجب أن 
يُذكر في بيان خدمات تقنية المعلومات الوقت الذي سيتم فيه تسليم الخدمة المشار إليها 
ومتطلبات إدارة المستخدم للوفاء بعروض الخدمة هذه. 

٠‏ من الذي يحق له طلب أو عرض الخدمة: يجب أن يحدد البيان مثلاً أن هناك مجموعات 
خاصة من التقارير التحليلية ستكون متاحة فقط لمستويات وظيفية محددة في الإدارات 
المالية. وبا مثل» قد تقوم بعض الخدمات المعروضة في البيان بالنص على أن المستخدمين 
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بيان خدمات تقنية المعلومات: تحقيق قيمة أكبر من عمليات تشغيل تقنية المعلومات 


الذين يطلبون تلك الخدمات يجب أن يتحملوا بشكل رسمي مسؤولية حل بعض الأخطاء 
أو القيام ببعض ال مراجعات بلخرجات نظم محددة. 

٠‏ تكاليف الخدمات التقنية: إن فكرة أن يتم تقديم خدمات تقنية المعلومات كموارد 
"مجانية" داخل المؤسسة قد انتهت منذ زمن بعيد. وسيقوم الفصل السابع عشر من 
هذا الكتاب بتقديم بعض الدعم الإضافي لحوكمة تقنية المعلومات لإدارة وفهم التكاليف 
والتسعير. ومع ذلك يجب أن يحدد بيان خدمات تقنية المعلومات بعض الإرشادات التي 
تتعلق بتكاليف الخدمات المعروضة في البيان. 

٠‏ كيفية الوفاء بالخدمة المذكورة في البيان: ينبغي أن يكون هناك بعض المعلومات بشأن 
توقيت تسليم الخدمة ومستويات الموافقة المطلوبة وغيرها من ال معلومات الضرورية 
المتعلقة بالخدمة المطلوبة من البيان. 

على الرغم من أن بيان الخدمات يُعتبر واحداً من الأدوات الهامة بالنسبة لإدارات تقنية 
المعلومات. فإنه أيضاً مهم وذو قيمة بالنسبة للعديد من الإدارات الأخرى غير العاملة 
في تقنية المعلومات وحتى بالنسبة للعروض المتعلقة بإدارة الموارد البشرية. فعلى سبيل 
المثال. يمكن استخدام تطبيق عرض خدمة لتسجيل استحقاقات الموارد البشرية للموظف 
أو تغييرها أو تعديل الاشتراكات أو المصروفات من حسابات الإقراض أو حسابات الادخار 

للموظفء أو الإقرار بالموافقة على مدونة قواعد السلوك الخاصة بالموظف. 

يمكن لإدارات تقنية المعلومات في المؤسسة أن تقوم بنشر عروض الخدمة لديها بشكل 
فعال من خلال موقع المؤسسة على شبكة الإنترنت والمتاح فقط لأصحاب المصلحة المصرح 
لهم. يستطيع المستخدم بعد ذلك القيام بزيارة الموقع للبحث عن خدمة محددة مثل 
طلب جهاز حاسب آلي محمول جديد. أو طلب تعديل الاستحقاقات. أو القيام بإضافة 
موظف جديد في أحد الأقسام في المؤسسة. يقوم هذا الموقع الخاص ببيان الخدمات بإعادة 
تجميع الخدمات المعروضة حسب الفئات أو الأصناف التي تنتمي لها ويسمح باستخدامها 
في عمليات البحث (خاصة عندما يكون هناك مئات بل آلاف الخدمات المتاحة). حيث 

يقوم المستخدم باختيار الخدمة التي يريدها ومشاهدة الوصف والتفاصيل المتعلقة بها. 

كما يقوم المستخدم بإدخال أي معلومات تتعلق بالخدمات» كمعلومات الاتصال أو أسئلة 
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الفصل الثاني عشر 


متعلقة بالخدمة» ثم يقوم بتقديم طلب للحصول على الخدمة المطلوبة. يحتاج طلب 
الخدمة إلى الموافقة أو التصديق عليه ثم يمر من خلال عملية التوجيه وعملية إدارة 
مستوى الخدمة وغيرها من العمليات اللازمة لاستيفاء الطلب. يستطيع المستخدم العودة 
إلى الموقع لاحقاً لفحص حالة الطلب أو لاستعراض جميع المقاييس المتعلقة بمدى نجاح 
الإدارة في أداء الخدمات التي تقدمها. 

يعد بيان خدمات تقنية المعلومات أحد الأدوات القيّمة والهامة للحوكمة بالنسبة 
للعديد من المؤسسات. يأخذ هذا الفصل بعين الاعتبار كيفية وضع وتطبيق بيان فعال 
للغومات ثقية المعلوماي» كما اة تن الاععار أيضا عضن الضوانط الرئيسية اللازمة 
لصخ عات عوك تقنية اللعلومات وات العلاقة. :وطن إذازة فة التعلومات 
هي التي تقوم بوضع ا معايير والضوابط لتحديد الموارد التي يجب إدراجها على أنها خدمات 
لتقنية المعلومات في بيان خدمات تقنية المعلومات الخاص بها ولأن هذا البيان يعمل 
على تحديد الخيارات المتاحة للمجتمع المستخدم لتقنية المعلومات المؤسسية:؛ فإن بيان 
الخدمات المنظم وا محكم جيداً هكن اعتباره أحد العناصر الهامة في الحوكمة الفعالة لتقنية 
المعلومات. 


أهمية بيان خدمات تقنية المعلومات: 

نظراً لزيادة الطلب من قبل وحدات الأعمال لخدمات جديدة في تقنية معلومات 
ولمستويات أعلى للخدمة» وكذلك الضغوط المستمرة للتكاليف» فقد قامت العديد من 
وحدات التشغيل الكبيرة لتقنية المعلومات المؤسسية بإجراء تحولات وتغيرات جذرية 
خاصة في السنوات الأخيرة. فقد أدرك الرئيس التنفيذي للمعلومات (010) وغيره من 
المسؤولين التنفيذين لتقنية المعلومات أن هناك حاجة إلى تحقيق مواءمة أو توافق أفضل 
بين الخدمات التي يقدمونها واحتياجات العملء وإلى تحسين رضا العميل الداخلي» ونشر 
عمليات معيارية لتحقيق كفاءة تشغيلية أكبر. إن هذا الإصرار على تحسين جودة الخدمات - 
وإظهار قيمة الأعمال - قد دفع العديد من إدارات تقنية المعلومات إلى تطبيق عمليات 
محسنة للخدمات» مثل عمليات آيتل والتي تمت مناقشتها في الفصل السادس من هذا 
الكتاب» بالإضافة إلى بعض اللنهجيات الأخرى لعملية تقنية المعلومات. ويعد بيان خدمات 
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بيان خدمات تقنية المعلومات: تحقيق قيمة أكبر من عمليات تشغيل تقنية المعلومات 


تقنية المعلومات أحد المكونات الرئيسية والذي تدعو الحاجة إليه لتحسين خدمة عملاء 
تقنية المعلومات. 

ويعتمد إطار العمل آيتل على المفاهيم الخاصة بالعناية بخدمات تقنية ا لمعلومات 
وعملائها. حيث يكون بيان خدمات تقنية المعلومات في قلب تلك المفاهيم الأساسية. 
وقد انتجت العديد من إدارات تقنية المعلومات بيان الخدمة كجزء من نشر إدارة مستوى 
الخدمة طبقاً للإطار آيتل. على أية حال حتى لو كانت المؤسسة إلى الآن م تتبن جميع 
مفاهيم آيتلء فقد يكون بيان الخدمات المؤسسية بمثابة نقطة محورية لتحقيق التفاعل 
بين تقنية المعلومات والأعمال» كما يمكن أن يمنح كل منهما فرصة تحسين الخدمات المقدمة 
لعملاء تقنية المعلومات. إن بيان خدمة تقنية المعلومات يعد أحد الأدوات الهامة لحوكمة 
تقنية المعلومات» كما أنه ضروري أيضاً لتوفير الأساس من أجل تحديد الخدمات والتواصل 
مع الأعمال. 

ولكي يكون بيان خدمات تقنية المعلومات فعالاً فإنه يجب أن يُفهم ويتم تبنيه 
واستخدامه من قبل الأعمال. لقد أصبحت بيانات خدمات تقنية المعلومات هي المفهوم 
الجَدَيْد “الساخن" منذ:بضع نوات إلا أننا جذ غالبا أن إدارات تقنية اللعلوفات تستهلك 
ساعات طويلة لتقوم بإنشاء وثيقة بيان الخدمات الخاصة بهاء مستخدمة في ذلك صيغاً 
ثابتة وجامدة ولا يقوم بقراءتها أو استخدامها إلا عدد قليل من العملاء. لذا نجد أن العديد 
من بيانات الخدمة الثابتة هذه من النادر أن يراها أو يقرؤها المستخدمون أو صناع القرار 
- وتصبح غالباً في نهاية المطاف عدهة التأثير. 

ولكي يتم بناء بيان فعال لخدمات تقنية المعلومات» فإنه يتعين على مديري تقنية 
المعلومات بالإضافة إلى مديري وحدات الأعمال في المؤسسة أن يقوموا بتحديد الخدمات 
التي سيتم إطلاقها لمستخدميهم النهائيين من خلال بيان الخدمة الخاصة بهم. وقد جرت 
العادة أن يقوم مديرو وحدات الأعمال ومحللو تقنية المعلومات بتحديد أنواع الأسئلة التي 
يمكن أن تُطرح من قبل مستخدمي بيان الخدمات الخاص بهم, وأن يقوموا أيضاً بتحديد 
ا موافقات اللازمة لطلب الخدماتء وأن يذكروا أيضاً النظم والعمليات الأخرى المطلوبة 
لاستيفاء الطلب. فبمجرد أن يتم تحديد الخدمة وتنظيم عملية استيفائهاء فإنه ينبغي 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات ۴۱ 


الفصل الثاني عشر 


على إدارة تقنية المعلومات بناء جميع الوظائف الضرورية داخل تعريف الخدمة ومن ثم 

نشرها في بيان الخدمة. 
إن مصطلح خدمة العملاء ليس جديداً بالنسبة للعمليات التشغيلية لتقنية المعلومات. 

فضلاً عن أنه في الأيام الأولى لنظم التقنية وعملياتها التشغيليةء كان قسم تقنية المعلومات 

في أغلب الأحيان هو الذي يقرر ما الذي يجب "تطبيقه" ومتى سيتم تطبيقه. إن التكاليف 

الباهظة للخدمات والنظم السيئة وعدم رضا المستخدمين عنها والتي لا تلبي احتياجاتهم» 

قد أدت إلى إعادة التفكير بشكل كبير من جانب إدارة تقنية المعلومات فيما يخص الخدمات 

التي تقدمها لمستخدميها. وقد أسهم نمو نظم الحاسبات الشخصية والإنترنت في تغيير تلك 
المفاهيم عبر السنين. أما اليوم فإن العديد من إدارات تقنية المعلومات وكذلك إدارة 
المؤسسة بدؤوا يدركوا أنهم في الأساس ما هم إلا وحدة لخدمة العملاءء فهم يعملون على 
تقديم الدعم اللازم للنظم وغيرها من موارد تقنية المعلومات لجميع إدارات المؤسسة 
التابعين لها. لقد أصبح بيان الخدمة أحد السمات الرئيسية للمساعدة في بناء الخدمات 
الخاصة بعملاء تقنية المعلومات ودعمها. على كل حال» ولكي نضمن وجود مبادرة ناجحة 
لخدمات تقنية المعلومات تركز على العملاءء فإنه يجب على إدارات تقنية ا معلومات اتباع 

التوجيهات الثلاثة التالية لبناء وتطوير بيان لخدمات تقنية المعلومات: 

-١‏ الإقرار بأن مستخدم التقنية هو الملك: بداية وقبل كل شيء يجب أن يتم إنشاء بيان 
بخدمات تقنية المعلومات مع التركيز القوي على حاجات العملاء الداخليين. إن الخطأ 
الأكثر شيوعاً الذي تقح فيه معظم إدارات تقنية المعلومات هو محاولة التركيز أكثر 
على شرح الخدمات التي يقدمونها من منظور تقنية المعلومات. فعادة لا يكون لدى 
عملاء تقنية المعلومات الرغبة في استعراض أوصاف تفصيلية للخدمة من خلال "عبارات 
تقنية". بل يرغبون بمشاهدة شروحات للخدمات المقدمة بعبارات يستطيعون فهمها 
ومكتوبة مصطلحات غير تقنية» ومعالجة الشواغل أو الاحتياجات العاجلة. 

داخل المؤسسة بدلا من البنية التحتية من حيث تأثيرها في الخارج. وكناحية إرشادية 

فإن البيانات الناجحة لخدمات تقنية المعلومات يجب بناؤها بطريقة مشابهة للبيانات 


يتم تحديد البيانات الناجحة لخدمات تقنية المعلومات اعتماداً على العميل وتأثيره 


۹۲ دليل المستول التنفيذي لحوكمة تقنية المعلومات 


بيان خدمات تقنية المعلومات: تحقيق قيمة أكبر من عمليات تشغيل تقنية ا معلومات 


الحقيقية الموجودة عبر الإنترنت والتي تستخدم يومياً من قبل العملاء. مثل بيانات الخدمة 

الخاصة بأمازون دوت كوم "4201.0 4. ودل 1011 » وإي باي y۾68.‏ 
يجب أن يشبه بيان خدمات تقنية المعلومات أحد هذه البيانات الخاصة بالعملاء 

وال منشورة على شبكة الإنترنت. وذلك من خلال استخدام توصيفات سهلة الفهم وواجهة 

استخدام سلسة لاستعراض جميع عروض الخدمات المتاحة في البيان. يعمل البيان الفعال 

لخدمات تقنية المعلومات أيضاً على تقسيم العملاء الذين يحق لهم الوصول إلى البيان- 

سواء كانوا مستخدمين آم مسئولين تنفيذيين لوحدات الأعمال- ويقوم بعرض محتوى 

مختلف بناء على الإدارة. والأدوارء والاحتياجات» واممواقع» والصلاحيات. إن هذا النهج 
المعتمد على العميل في وضع البيان يساعد على ضمان تبني بيان خدمات تقنية المعلومات 
من قبل المستخدمين النهائيين وتوفير الأساس لنقاش متوازن لمستوى الأعمال فيما يتعلق 

بجودة الخدمة ومواءمات التكلفة مع صناع القرار في المؤسسة. 

۲- جعل بيان خدمات تقنية المعلومات قابل للتنفيذ: من المهم ألا يكون بيان خدمات 
تقنية المعلومات أكثر من مجرد مستودع ثابت للمعلومات. فباستخدام المثال الذي 
طرحناه عن بيانات خدمات العملاء المنشورة على شبكة الإنترنت» حيث يقوم العملاء 
باستعراض البيان المنشور عبر الإنترنت على موقع أمازون. كوم ۸۳201.0۳ أو دل. 
كوم 10611.6012: وعند مشاهدتهم لشيء ما يريدونه. فبإمكانهم طلبه. بالمثل» يجب 
أن يرتبط بيان خدمات تقنية المعلومات المقدمة للمستخدمين النهائيين مع عمليات 
طلب الخدمة - وذلك من خلال واجهة عربة التسوق القائمة على الإنترنت والتي تمكن 
الستعفدمن التهاتين من طت الخدمات وضع حال الطب غر الإنترفت. غل نحو 
مماثلء يجب أن يكون لدى مسئولي وحدات الأعمال التنفيذيين عرض فريد لبيان 
خدمات تقنية المعلومات الخاصة بالمؤسسة التابعين لهاء وذلك لمنحهم مستوى أكبر من 
الشفافية على بنود ميزانية تقنية الأعمال ودوافع الاستهلاك ومستويات الخدمة وتأثير 
الأعمال على كل خدمة من الخدمات التي توفرها تقنية المعلومات. 
تعد خدمات تقنية المعلومات أمراً هاماً بالنسبة للموظفينء وذلك عندما يرغبون في 

تحديث نظم الحاسبات المحمولة الخاصة بهم أو زيادة حجم صندوق البريد الإلكتروني 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات ۹۳ 


الفصل الثاني عشر 
الخاص بهم. كما أنها تعد مسألة هامة بالنسبة لمسئولي الأعمال التنفيذيين عندما يقومون 
بمراجعة الميزانيات أو عند استلام فواتير تقنية المعلومات الخاصة بهم. هذه هي الأوقات 
التي يجب أن يكون فيها بيان خدمات تقنية المعلومات متاحاً وقابلاً للتنفيذ. 
ولضمان نجاح هذا الأمرء يجب أن يصبح بيان الخدمات نقطة الوصول الوحيدة التي 
سيلجأ إليها المستهلكون في جميع احتياجاتهم المتعلقة بتقديم خدمات تقنية المعلومات 
الخاصة بهم» كما يجب أن يكون هذا البيان متاحاً وبسهولة تامة وفي أي وقت يحتاج فيه 
العملاء إلى التعرف على الأمور التي تنفذها تقنية المعلومات وكيف تقوم التقنية بتنفيذها. 
كل ذلك يعني أنه يجب على قسم تقنية المعلومات أن ينظر لخدمات تقنية المعلومات كما 
لوكاثت ملعا أو :متكجات. إن كار اللديرين'الذين كانوا :على علاقة'بإذازة تفنية اللحعلومات: 
في الماضي كانوا يقومون وبشكل رسمي بملء نوع من أنواع الوثائق الخاصة ب "طلب 
خدمات تقنية المعلومات" وذلك عند الحاجة إلى تقرير جديد أو أحد العمليات الجديدة 
لتقنية المعلومات. وكانت هذه الطلبات في ذلك الوقت يتم تحويلها إلى نوع ما من أنواع 
اللجان الإدارية التي كانت تقوم في البداية بمراجعة الطلبات المقدمة والموافقة عليها ومن 
ثم تحديد أولويات التنفيذ. إن العديد من عمليات تقنية المعلومات اليوم لا تحتاج إلى 
نظم مخصصة وأعمال برمجية كالتي كانت موجودة في الماضيء بل يمكن تلبية احتياجات 
المستخدمين من خلال العديد من نظم وعمليات تقنية المعلومات الموجودة اليوم. 
*- تمكين بيان خدمات تقنية المعلومات ليصبح نظام سجلات: ينبغي أن يقوم بیان خدمات 
تقنية المعلومات القابل للتنفيذ بوظيفة "نظام للسجلات" الذي يجعل من ا ممكن إدارة 
وحدة خدمات تقنية المعلومات كما يدار مشروعٌ داخل مؤسسة. فبإمكان هذا البيان 
الخاص بخدمات تقنية المعلومات أن يوفر الوسائل والآليات الضرورية لإدارة طلبات 
العملاءء وأن يناظر العمليات الخاصة بتحقيق الخدمة مقابل كل خدمة من الخدمات 
المقدمة, وأن يضمن الامتثال لمستوى الخدمة والدفع بالكفاءات الخاصة بالعملية وتتبع 
التكاليف. 
لا هكن لأي عمل من الأعمال الموجهة نحو الخدمة أن يتم بشكل فعال بدون توفير 
هذه البيانات المالية والتشغيلية بسهولة ويسر. فمن خلال تزويد العملاء الداخليين بنقطة 


۹ دليل امستول التنفيذي لحوكمة تقنية ا معلومات 


بيان خدمات تقنية المعلومات: تحقيق قيمة أكبر من عمليات تشغيل تقنية المعلومات 


مركزية لطلب الخدمات» تستطيع تقنية المعلومات الاستفادة من هذه البيانات للتحكم في 
الاستهلاك بدرجة أكثر فاعلية. فمن خلال الخدمات القياسية والموثقة على نحو جيد. يمكن 
لفرق تقنية المعلومات أن تفرض عمليات قابلة للتكرار وقابلة للقياس لتقديم الخدمات» 
الأمر الذي يؤدي في نهاية المطاف إلى جودة يمكن التنبؤ بها وموثوقة بالنسبة لمستوى 
الخدمات المقدمة. وهذا يسمح لمسئولي تقنية المعلومات التنفيذيين من الحصول على 
ا معلومات الضرورية لاستخدامها في المناقشات المتعلقة بالأعمال والقائمة على الحقائق مع 
نظرائهم فيما يخص الميزانيات والتسعير. 

يمكن أن يكون بيان خدمات تقنية المعلومات حجر الزاوية للنجاح في العديد من 
مبادرات تقنية المعلومات التي تركز على العملاء. فمن خلال تحديد ونشر المحفظة 
المعيارية الموحدة الخاصة بعروض الخدمات الخاصة بالأعمالء تستطيع إدارة تقنية 
المعلومات تسويق القيمة الخاصة بها بصورة أكثر فاعلية وتأسيس إطار عمل للتواصل 
مع الأعمال الأخرى. ومن خلال جعل بيان الخدمات تشغيلياً وإجرائياً تستطيع عمليات 
تشغيل تقنية المعلومات أن تساعد في توحيد عمليات استيفاء الخدمة» وإدارة الاستهلاكف 
ودفع عملية التحسين المستمر. 

يمكن أيضاً وقف الخدمات التي لا يتكرر الطلب عليها باستمرار. وكذلك ينبغي تحسين 
العمليات الخاصة بتقديم الخدمات كبيرة الحجم. كما يمكن أن توفر مؤشرات الأداء 
الرئيسية رؤية أكبر لضبط التكاليف» وضمان الجودة الأفضل للخدمات اممقدمةء وتقديم 
الدعم للنقاشات الخاصة بوضع الميزانية مع صانعي القرار. 

من خلال بیان خدمات معمول به يركز على العميل وقابل للتنفيذ هكن لقسم تقنية 
المعلومات أن يعمل بصفة مزود موجه نحو الخدمات حيث يقوم بتلبية احتياجات عملاء 
الأعمال لديه بشكل فعال. من ناحية أخرىء لا بد أن ندرك أن بيان خدمات تقنية المعلومات 
لا يجب أن يعرض أنواع الأشياء الموجودة في بیان سيرز ريباك Sears Roebuck catalog‏ 
ذي الطراز القديم الذي كان موجوداً في الماضي - والذي كان يحوي العديد والمدهش من 
المدخلات. لذا يجب أن يركز بيان خدمات تقنية المعلومات على العروض الهامة لتقنية 
المعلومات في المؤسسة. 


دليل المسئول التنفيذي لحوكمة تقنية ا معلومات 0 


الفصل الثاني عشر 


دور بيان الخدمة في تنظيم أعمال مزود خدمات تقنية المعلومات: 

يجب أن يقدم بيان خدمات تقنية المعلومات الدعم إلى وحدات الأعمال التي ستستخدم 
هذا البيان بالإضافة إلى أقسام تقنية المعلومات التي ستوفر خدمات تقنية المعلومات على 
اللو الإستراتيجي» والتخطيطي؛ وكذلك على مستوى الإدارة التشغيلية: معنى أن هذا 
البيان يجب أن يبي أولاً على مستوى رفيع د بحيث يمكن لكل من الإدارة العليا وإدارة 
تقنية المعلومات على مستوى المدير التنفيذي للمعلومات أن يتخذوا في البداية قراراً حول 
أنواع العروض التي سيشملها البيان. فعلى سبيل المثالء قد تحتاج إحدى مؤسسات التجارة 
المالية إلى العديد من أدوات الوصول التي تساعدها في إتمام أعمالها التجارية. فأي مستثمر 
يبحث عن برامج خاصة باختيار سوق الأسهم. على سبيل المثالء يدرك أن هناك العديد 
والعديد من أدوات اختيار وتحليل الأمهم. على أية حال يمكننا القول وبكل بساطة بأنه 
من غير المجدي لا من الناحية العملية ولا من الناحية الاقتصادية أن يتم إدراج كل أدوات 
التحليل هذه في بيان المؤسسة وجعلها متاحة لأي مستوى من المستويات الخاصة بمستخدم 
النظام. بل ينبغي على وحدات الأعمال وقسم تقنية المعلومات أن يقوموا بفحص تلك 
البدائل المختلفة, وأن يضعوا فقط البدائل المقبولة أو المتعارف عليها في بيان خدمات تقنية 


المعلومات لديهم. 
يوضح الشكل التوضيحي )١-٠١(‏ تلك العلاقة الخاصة ببيان خدمات تقنية المعلومات 
بين وحدات الأعمال والإدارة الخاصة ممزود خدمات تقنية المعلومات. وليس بالضرورة أن 


يعبر المثلث الظاهر على يسار الشكل عن كامل المؤسسة. فهو من الممكن أن يعبر عن قسم 
أو دة اعمال أ مجموعة فة مسعقلة تهاءمطالها وأتفليفه] الخاصة يهان فضا 
عن أن هناك وحدة معينة لنظم وعمليات تشغيل تقنية المعلومات ستقوم عادة بدعم 
تلك الوحدة المستقلة للأعمال. الفكرة هنا هي أنه لا بد من أن يتم وضع الإستراتيجية 
الشاملة لبيان خدمات تقنية المعلومات على مستوى إستراتيجي من قبل الإدارة العليا 
لتقنية المعلومات والإدارة العليا للتشغيل واطالية. 6 الذي سيؤدي إلى إيجاد قيود من 
المستوى الأعلى تعد بمثابة الأساس لبيان خدمات تقنية المعلومات ومحفظة الخدمات 
الخاصة باملؤسسة. 


۴۹7 دليل المستول التنفيذي لحوكمة تقنية ا معلومات 


بيان خدمات تقنية المعلومات: تحقيق قيمة أكبر من عمليات تشغيل تقنية المعلومات 


إن بيان الخدمة على المستوى الإستراتيجي يغطي عروضاً رفيعة المستوى لخدمات 
تقنية المعلومات مثل الخصائص والخيارات الرئيسية المتاحة من خلال نظام تخطيط 
الموارد المؤسسية Enterprise Resource Planning (ERP)‏ والذي تم تطبيقه استنادا 
إلى مشروع اختيار وتطبيق البرمجيات الخاصة بأحد الباعة. إن أي نظام خاص بتخطيط 
ا موارد المؤسسية 818 يوفر العديد من الخيارات وا ميزات» ويحتاج إلى مستويات عالية من 
التدريب والوعي لكل من المستخدمين والعاملين بمرفق تقنية المعلومات لتحقيق الاستفادة 
المرجوة من الميزات الخاصة بالنظام. وسنتطرق للحديث عن قضايا حوكمة نظم تخطيط 
الموارد المؤسسية E۸۶‏ في الفصل الخامس عشر من هذا الكتاب. وسيتم تقديم نوع 78115 
الذي تم اختياره لأحد النظم الرفيعة المستوى في بيان الخدمة على مستوى إستراتيجي. 

شكل توضيحي (۱-۱۲) 
علاقات الأعمال الخاصة بخدمات تقنية المعلومات 


المرقق الخاص بمزود بر د 
خدلت لقي ال لوت السلا الأعمال 


الإدارة الاستراتيجية 





إدارة مكثب الخدمة وغيرها من 
وحدات دعم وتشغيل تقنية 
المطومات 








الإدارة التشغيلية 





دليل المسئول التنفيذي لحوكمة تقنية المعلومات ۹۷ 








الفصل الثاني عشر 


ثم يأتي بعد ذلك منظور إدارة التخطيط (الإدارة التكتيكية) وهو ضروري لبناء أي 
بيان خدمات وتحقيق الترابط بين قسم تقنية المعلومات وإدارة عمليات التشغيل وإدارة 
عملاء وحدة الأعمال التابعين لها. فهي عملية مكونة من عدة خطوات وموضحة بالشكل 
.)۲-٠۲(‏ وفي خطوة أولى» يجب على إدارة تقنية المعلومات أن تنظر بتمعن إلى موارد 
تقنية المعلومات الموجودة لديها والعمل على إعادة تشكيلها على أنها خدمات موجهة 
للمستخدمين. على سبيل المثال» قد يكون لدى إحدى المؤسسات بعض التطبيقات 
الرئيسية الخاصة با محاسبة والمالية» مثل دفتر الأستاذ العام والخاص بالإقفال في نهاية 
الشهر. هناء را يكون من الضروري تسليط الضوء على عمليات التحليل الخاصة الأخرى 
ووصفها وتحديد المستخدمين المحتملين لها وإضافتها كسجلات في بيان الخدمة. هذا 
سيحولها من مجرد عمليات تقنية إلى خدمات خاصة بالعملاء كما هو موضح في الشكل 
التوضيحي (۲-۱۲). 

وفي خطوة تالية. يجب أن ثحل الخدمات التقنية الخاصة بالعملاء إلى عمليات محددة 
في الأعمال المؤسسية. وتفرض هذه الخطوة على فريق تقنية المعلومات وفريق الأعمال 
الذهاب إلى ما هو أبعد من مجرد قائمة بالتطبيقات المنفذة لديهم والتي يمكن وصفها 
في بيان الخدمات. الفكرة هي أنه يجب تقديم المزيد من التفاصيل التي تسمح بتمكين 
العمليات الخاصة بالأعمال على نحو أفضل. لذا يجب أن يحدد بيان تقنية المعلومات 
هذه العمليات الخاصة بالأعمال على نحو أفضل كي تسمح للمستخدمين بأن يفهموا كيفية 
اختيار واستخدام تلك العمليات الخاصة بالأعمال. وقد تكون الإجراءات الخاصة بالتعيينات 
الجديدة في إحدى وحدات المنظمة مثال على أحد أنواع العمليات التي يمكن إضافتها إلى 
بيان كهذا. فالوحدة التقليدية في المؤسسة لا تستقطب العديد من الأشخاص الجدد على 
نحو منتظم» غير أن هناك عمليات خاصة لازمة لمثل هذا الموظف الجديد والتي تتضمن 
فحص المعلومات الأساسية والعروض الخاصة بخطة الاستحقاقات والتقاعد والامتثال لمدونة 
قواعد السلوك وما هو أكثر من ذلك بكثير. فبيان تقنية المعلومات سيقود المستخدمين 
لتلك الخدمات الضرورية وسيوجههم إلى تحقيق الامتثال. 


۴۹۸ دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


بيان خدمات تقنية المعلومات: تحقيق قيمة أكبر من عمليات تشغيل تقنية ا معلومات 


محتوى بيان خدمات تقنية المعلومات وسماته: 
تعد بيانات خدمات تقنية المعلومات من الإصدارات الشائعة في العديد من المؤسسات 
اليوم. ولكن ينبغي أن تكون هذه البيانات أكثر بكثير من مجرد قوائم طويلة تحتوي على 
أسماء ملفات التطبيقات التي تكون أشبه ها هكن أن نجده في قائمة أحد مجلدات أنظمة 
التشغيل المعتمدة على النوافذ. لذا يجب أن يتم تصميم أنواع الخدمات المقدمة لتتناسب 
مع المنظمة وأهدافها. إن البحث في الويب عن مؤسسات أخرى قد يزودنا بالعديد من 
الأمثلة ما يجب أن يظهر به سجل البيانات الخاص بخدمات تقنية المعلومات» ومع أن 
العديد من مصادر شبكة الإنترنت تقوم بوصف منتجات البائع الذي يقوم بتسويق الحلول 
الخاصة به» فإنه من ناحية أخرى نجد أن بيان الخدمة النموذجي يبدأ صفحة رئيسية 
على الإنترنت تخص قسم تقنية المعلومات التابع للمؤسسة. حيث يلفت انتباه الأعضاء 
المصرح لهم بالدخول إليه من بين مجتمع المستخدمين الخاص بالمؤسسة إلى خدمات تقنية 
المعلومات المتاحة. 
شكل توضيحي (۲-۱۲) 
عناصر بيان خدمات تقنية المعلومات 
خدمات تقنبة المعلومات 


عملبات تنب المطومات : 
a‏ المقامة للسلاء 
















٠‏ للدم من قبل عملا 
الأعدال لتقديم قيمة, 
أمثلة تعمد على 
أنوا الأعدل مثل 
خدمات الرهن ار 


ضط الجرلة. 


٠‏ ثم تطويرها وتفيذها ثنفذ من خلال الأعمال 
مطومان, يات أعمال تمد المطلوبة. 
: أل على ذلك عمليات 








٠‏ أمظ على ذلك 
صينة الخوادم 
والمعدات أو ترئية الإلكثروني والنظم 
والبرمبيات. الملية والرواتب. 











دليل المسئول التنفيذي لحوكمة تقنية المعلومات ۳۹۹ 


الفصل الثاني عشر 


وعلى الرُغم من أن ا مؤلف هنا غير محترف في تصميم مواقع الإنترنت» فإن الشكل 
التوضيحي (7-17) يعرض مثالاً على الواجهة الرسومية الأمامية أو الصفحة الرئيسية لبيان 

الخدمات الخاص بالشركة العامية لمنتجات الحاسب (Global Computer Products)‏ 

التي تمت الإشارة إليها في فصول أخرى من هذا الكتاب. فبعد أن يقوم الموظف أو غيره من 

أصحاب المصلحة المصرح لهم بتسجيل الدخول باستخدام معرف فريد محدد وكلمة مرور 
خاصة به» فإنه سيرى هذا النوع من الصفحات الرئيسية» والتي تسرد المجالات المختلقة 
المتاحة لدعم النظم والتطبيقات الخاصة بها. فعلى سبيل المثالء قد يقوم المستخدم املصرح 
له بعد ذلك بالنقر على رابط خدمات مراقبة التطبيقات 72001601128 applications‏ 

15. وقد تكون هذه عبارة عن أدوات خاصة لتحسين تطبيقات أخرى مخصصة 

للمستخدمينء حيث يشير الرقم (0) بعد الرابط 56157165 2]10ع11ممى إلى عدد التطبيقات 

الأخرى المتاحة المتعلقة بهذه الفئة. ومع عدم مشاهدة تلك التطبيقات هناء فإن النقر على 

الرابط سيعرض لنا قائمة بتلك التطبيقات الخمسة. 
يمكن أيضاً عرض مجموعة من الخيارات الإضافية على أنها جزء من تلك العينة لصفحة 

بيان الخدمات مع روابط لصفحات أخرى تشمل: 

٠‏ طلبات الخدمة 1601165615 ©561310: وستكون هذه عبارة عن بيان لعرض طلبات 
المستخدمين المتعلقة بالحصول على بعض التطبيقات الجديدة والخدمات الأخرى لتقنية 
اللعلومات. 

٠‏ حالة تذاكر المشاكل 568615 )نا mصeاطهإP:‏ يقوم مستخدمو تقنية المعلومات الذين 
يواجهون مشاكل مع أي نوع من أنواع تطبيقات أو خدمات تقنية المعلومات بتعبثة 
نوع من أنواع الوثائق الخاصة بتذكرة المشاكلء وقد سبق الحديث عنها على أنها جزء 
فتن آيقل في الفصل السادس من هذا الكتاب. 

٠‏ تاريخ التدريب هط وسنصنة:1: يجب أن تقدم الصفحة الرئيسية تقريراً عن حالة 
البرامج التدريبية التاحة للمستخدمين حسب معرف المستخدم 19 156]. 

٠‏ روابط الاتصال بإدارة تقنية المعلومات: من الممكن أن تكون روابط عامة لتقديم 
ال مساعدة. 


6 دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


بيان خدمات تقنية المعلومات: تحقيق قيمة أكبر من عمليات تشغيل تقنية ا معلومات 


ولأن أي بيان خدمات كهذا لن يتمكن من تغطية جميع طلبات المستخدمين فلا بد 
أن يكون لدى المؤسسة إحدى العمليات المعمول بها والخاصة بالتذاكر حيث يستطيع 
ادح أن قول .من تقديم الطليات الخاصة وفخص جالة أ تذاكز كم ةا 
إضافة إلى ذلك فإنه يجب الاحتفاظ بسجلات دقيقة عن النشاطات التدريبية. ومن المهم 
توضيح أن هناك موظفين محددين قد تلقوا تدريبات في تطبيقات رئيسية وأنهم قد أتموا 
متطلبات تلك التدريبات. 

ومن الممكن أيضاً تنظيم بيان الخدمات من خلال مجموعات من اللوحات الخاصة التي 
تحتوي على روابط للتطبيقات والخدمات المتاحة للموظف المستخدم. بحيث تكون تلك 
القائمة من الروابط مرنة وتعتمد على الصلاحيات الخاصة بدخول المستخدمين. فالمشرف 
في القطاع التسويقي مثلاً يستطيع أن يرى فقط الروابط الخاصة بالتطبيقات المصرح له أو 
لها بالوصول إليها. في حين أن لوحات أخرى تقدم للمستخدم معلومات عن أرقام الاتصال 
بالدعم الفني وأهم الأخبار المتعلقة بالنظم ومعلومات خاصة بالفيروسات وحالة الأمن. 
وقد تم الحديث عن قضايا الأمن الخاصة بتقنية المعلومات في الفصل العاشر من هذا 
الكتابء كما يجب أن تكون هناك نظم معمول بها لإخطار جميع المستخدمين بالوضع 
الحالي للقضايا ا متعلقة بالفيروسات والأمن. 

تحتوي اللوحة الموجودة في الجانب الأيسر من هذا المثال للصفحة الرئيسية على قائمة من 
الخدمات التي ستكون متاحة للمستخدم اعتماداً على صلاحيات وحقوق الوصول الخاصة 
بهوية المستخدم أو المستخدمة. وتكون هذه القائمة في العادة نوعاً من أنواع الطلبات 
الخاصة بالتطبيقات التي لا تُدرج ضمن النشاطات اليومية الاعتيادية للمستخدمين ولكن 
قد تكون ضرورية لمتطلبات خاصة. 

قد يكون بيان خدمات تقنية المعلومات هثابة أداة هامة لتنظيم: وحتى التحكم نوعاً 
ماء بعمليات الوصول إلى موارد تقنية المعلومات الخاصة با مؤسسة. لذلك يجب تشجيع 
كل من كبار المديرين ووحدات تقنية المعلومات التابعين لها على تطبيق واستخدام بيانات 
فعالة للخدمات والتي سوف تسمح لجميع أصحاب المصلحة المعنيين في المؤسسة باستخدام 
موارد تقنية المعلومات داخل حدود مسؤولياتهم بشكل فعال. 


دليل امستول التنفيذي لحوكمة تقنية المعلومات e‏ 


الفصل الثاني عشر 


إدارة بيان خدمات تقنية المعلومات: 

ربما يكون اهتمام بائعي تقنية المعلومات والإعلام التقني المرتبط بتقنية المعلومات 
هو السبب وراء جعل بيانات خدمات تقنية المعلومات أحد الأشياء العصرية التي يمكن 
تطبيقها بالنسبة للعديد من المؤسسات خلال السنوات الأخيرة. من ناحية أخرى فإن 
بذل الوقت والموارد على تطبيق كهذا لن يعود بقيمة كبيرة على المؤسسة مام يتم 
تخطيط وتنفيذء وإدارة الجهود بشكل فعال في أرجاء المؤسسة كافة. فعمليات إدارة بيان 
الخدمات تمنح تقنية المعلومات القدرة على التحكم بالمبادرات الداخلية لتطوير وتقديم 
الخدمات ودعمها عند تأسيس الشراكة مع المستهلكين الذين سيحصلون على الخدمات 
المتفق عليها مستويات وأسعار متوقعة. وتتضمن فوائد الإدارة الفعالة لخدمات تقنية 
المعلومات ما يلي: 

٠‏ إيجاد ثقافة تقديم خدمة والتي أسهمت في تغيير النظرة التي ننظرها لإدارة تقنية 
المعلومات من مجرد قسم من أقسام الشركة إلى أن تكون مزود خدمات. 

٠‏ توفير مصدر للمعلومات الموثوقة لإدارة استثمارات تقنية المعلومات على نحو أفضل. 

٠‏ رفع مستوى الرضا لدى العملاء عن طريق السماح لهم باختيار المستويات الصحيحة 
لخدمات تقنية المعلومات التي تلبي رغباتهم. 


۲ دليل المستول التنفيذي لحوكمة تقنية ا معلومات 


شكل توضيحي (8-17) 


الصفحة الرئيسية لبيان خدمات الشركة العالمية لمنتجات الحاسب 


© Information Technology Division 
Global Computer Products IT Service Catalog Home Page 
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. 
Application Monitoring Services, Call Center Management (Operator Services), Custom 
Application Development 

* Communication/ Collaboration Services )23( 

ActiveSync Wireless Messaging Services (IPhone, Windows Pocket PC, Palm, smartphone), 
BlackBerry Wireless Messaging 

" Connectivity Services (10) 

Paging Network Support, Cable Management—Inter/Intra Building Connectivity, 
Consolidated Network Monitor 


Business Intelligence Services, Enterprise Application Services, Enterprise Directory 
Services 
* Hosting Services (7) 
Co-Location Services, Database Hosting Services, Google Search Engine Service, 
Mainframe Hosting Services 
* Infrastructure Services (13) 
Active Directory Development and Testing Services, Active Directory Management and 
Operations Services, Desktop 


Consulting Services, General IT Security Services, IT System Security Assessment and 
Authorization Relationships 


Deskside Support Services, eDiscovery Services, Media Sanitization Service, Messaging 
and Infrastructure Support 


Custom IT Training, IT Training Facilitation (Classroom Rental), IT Training 


Please contact the Global Computer Products IT Service Desk if you need any additional 
information about services in this catalog. 
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الفصل الثاني عشر 


ينبغي على إدارات تقنية يد ع أن تقوم بتعبئة مواردهاء بموافقة الإدارة العلياء 
لبناء وصيانة بيان خدمات تقنية المعلومات الذي يحتوي على معلومات دقيقة عن كل 
خدمة من الخدمات الموجودة وعن تلك التي تم إعدادها لتعمل بشكل تشغيلي. 

إن الجهد المبذول لتطوير بيان خدمات مثل هذا سيعود بفوائد كبيرة على الصعيدين 
الداخلي والخارجي. فعلى الصعيد الداخليء ينبغي على إدارات تقنية المعلومات أن تقوم 
بتطوير وإطلاق خدماتها بناء على المتطلبات المستمدة من إستراتيجيات الأعمال في ا مؤسسة. 
أما على الصعيد الخارجيء فيستطيع عملاء تقنية المعلومات فهم توجهات تقنية المعلومات 
وطلب الخدمات ومستوى الخدمة التي تستطيع أن تقدمها لهم تقنية المعلومات. 

تتضمن الخطوات الرئيسية للقيام بإنشاء بيان خدمات فعال لتقنية المعلومات وإدارة 
تلك العمليات بشكل فعالء ما يلي: 


٠‏ توثيق تعريف خدمة تقنية المعلومات: يعد التوصل إلى توافق ينتهى بتوثيق تعريف 
خدمات تقنية المعلومات بمثابة الخطوة الأولى» وربما تكون الأكثر صعوبة في هذا المقام. 
فالسؤال هنا موجه لكل من إدارة تقنية المعلومات وإدارة المستخدمين "ما المقصود بخدمة 
تقنية المعلومات؟" إن الإجابة عن هذا السؤال ليست بالأمر السهلء ومن المحتمل أن 
تكون إدارة تقنية المعلومات قد بذلت الكثير من الوقت قبل الوصول إلى تعريف محدد 
وواضح للخدمة. إلا أن الإطار آيتل الذي تم تقدهه في الفصل السادس من هذا الكتاب 
يقدم تحويقا ناا واا للخدمة وهو أن: "الخدمة هي وسيلة لتقديم قيمة للعملاء 
من خلال تسهيل النتائج التي يريد أن يحققها المستهلك دون تحمل التكلفة أو المخاطر". 

ومن الآثار التي يمكن أن تنتج عن العمليات الفعالة لإدارة بيان الخدمات إمكانية 
مراقبة وفهم التغيرات التي تحدث على متطلبات وخدمات الأعمال. لذا يجب أن تتلقى 
إدارة تقنية المعلومات معلومات عن الأعمال على أنها مدخلات من وحدات الأعمال في 

ا مؤسسة حتى تتمكن من وضع الخطط الإستراتيجية والمالية لتقنية المعلومات. اعتماداً 

على المتطلبات الحالية والمستقبلية الموجودة في محفظة الخدمات الحالية لتقنية المعلومات. 

وهذا سيسمح لبيان الخدمات أن يصف بدقة جميع الخدمات التي سيكون هناك حاجة إلى 

نشرها. وقد تتضمن هذه ال معلومات التفاصيل المتفق عليها بخصوص مستويات الخدمة 
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وعلى مسائل أخرى كالوقت المناسب للتسويق والتغيرات التي طرأت على العمليات 
الرئيسية للأعمال المعتمدة على خدمات تقنية المعلومات. 

كما سيحتوي تعريف الخدمات أيضاً على معلومات تتعلق بوحدات الأعمال التي 
يمكنها أن تطلب الخدمة» وعن أصحاب الأعمال ومدير الخدمة الذي سيقوم بالتصديق 
على طلبات الخدمات. كما يجب أن تشتمل الوثيقة أيضاً على تفصيلات وحالات جميع 

الخدمات التشغيليةء وأيضاً تلك التي تم نقلها إلى الإنتاجية. 

٠‏ بناء محتويات البيان: مجرد أن يتم توثيق تعريف الخدمات وكل المعلومات المرتبطة بها 
يمكن لتقنية المعلومات إنشاء محتوى بيان الخدمات الخاص بها. وهو عبارة عن نشاط 
يتضمن كيفية تنظيم عروض الخدمات وتزويد المستهلك بكل التفاصيل المتفق عليها. 

وربما تنتج بعض الصعوبات غير المتوقعة أثناء بناء لعلف جراء بعض التعريفات 
اللعقحدة للخومعات: يحب ان اذك اها أن اة فة تمق انفحطة اعرق فل 

المكونات الرئيسية للبنية التقنية الرئيسية ها فيها من معدات وتطبيقات وشبكات وبيانات. 

ومن الممكن أن يكون ذلك مجدياً في تحديد التسلسل الهرمي للخدمات الموجودة بداخل 

البيان من خلال إعداد وتجميع أنواع الخدمات المسجلةء متضمناً ذلك خدمات الأعمال 
والدعم الفني والبنى التحتية والشبكات والتطبيقات. إن سؤال العملاء عن الخدمات 
التي سيقومون باستخدامها وعن الكيفية التي ستسهم بها هذه الخدمات في دعم عمليات 
الأعمال الخاصة بهم» يمكن اعتباره أحد الوسائل البسيطة للقيام بهذا النشاط الخاص ببناء 
محتوى البيان. إن تطوير وملء ما يعرف بقالب تعريف خدمات تقنية المعلومات وا لموضح 
في الشكل التوضيحي )٤-١١(‏ قد يكون هو نقطة البداية الرئيسية لهذه العملية. فملء 
تلك القوالب المعرفة مسبقاً لتعريف الخدمات ومن ثم توزيعها بين أصحاب اللصلحة 

الرئيسيين لمراجعتها والموافقة عليها سيسهل كثيراً من هذه المهمة. 

٠‏ إنشاء نوافذ لخدمات الأعمال: يعد وجود حاجة لفهم طرق عرض خدمات الأعمال جزءاً 
اسا من عملية تطوير بيان خدمات تقنية SE‏ إذ تشتمل طرق العرض هذه 
على تفاصيل كثيرة تتعلق بجميع خدمات تقنية ا معلومات ال مقدمة للعملاء كما تحتوي 
أيضاً على توصيفات وتفاصيل يستطيع أن يفهمها العميل. وتحتوي كذلك على العلاقات 
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الموجودة بين وحدات وعمليات الأعمال المعتمدة على خدمات تقنية المعلومات. فشاشة 
خدمة الأعمال هي نافذة العميل على بيان خدمات تقنية المعلومات كما أنها تسهم في 
تطوير عملية أكثر فاعلية لإدارة مستوى الخدمة. 
قد تساعد الحلول التقنية المستخدمة في إنتاج طرق لعرض خدمات الأعمال» الأمر الذي 
يسمح لتقنية المعلومات باتخاذ قرارات حاسمة حول الخدمات التي يتم طلبها وعدد المرات 
التي تطلب فيها ومعرفة احتمالية دمج بعض الخيارات التي من الممكن أن تكون مرتبطة 
بالخدمة ومستويات الخدمة التي من الممكن أن تُطلب. 
ة إنفاء طرق لعرض الخدمتات التقنية: نظرا لهيكلة خدمات تقنية اللغلوماث:فإن 
هناك العديد من خدمات الدعم الفني تكون غير مرئية با مرة لمستخدمي وعملاء تقنية 
ا معلومات» والتي يجب أن تبقى كذلك» إلا أنها أساسية وضرورية لتقديم خدمات تقنية 
المعلومات. يختلف بيان الخدمات التقني عن منظور خدمات الأعمالء فهو يحتوي على 
تفاصيل جميع خدمات تقنية المعلومات التي تم تقدهها للعميل إلى جانب علاقاتها 
بخدمات الدعم» والممكونات» وعناصر التهيئة اللازمة لدعم تقديم الخدمات للأعمال. 
إن العديد من المؤسسات تقرر الاحتفاظ ببيان خدمات أعمال فقط أو بيان خدمات 
تقنية فقط. على أية حال فإن الوضع المفضل الذي تم تبنيه من قبل المؤسسات الأكثر 
نضوجاً هو الاحتفاظ بكلا الجانبين بداخل بيان خدمات واحد يعتمد على الأدوار. فهو 
يسمح لمستخدمين مختلفين من الوصول إلى شاشة الأعمال أو شاشة الدعم التقني أو 
الشاشتين معاً وفقاً لصلاحياتهما. 
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شكل توضيحي )٤-۱۲(‏ 
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الفصل الثاني عشر 


٠‏ نشر الخدمات النشطة في بيان الخدمات: خطوة أخيرة ومهمة إدارية هامة للغاية. يجب 
أن تقوم إدارة تقنية المعلومات بنشر بيان الخدمات الخاصة بها لعملائها. ويعد ضبط 
وتطوير واجهة تعتمد على الويب تسمح بالوصول إلى الخدمات ال معروضة هو الحل 
الطبيعي في هذه الحالة. ويوضح الشكل التوضيحي )-٠١(‏ مثل هذه الصفحة الرئيسية 
لبيان خدمات منشور على شبكة الويب. 

إن إجراء الدراسات المتعلقة بإمكانية وسهولة وفحص الأداء بشكل مسبق يعد من 
الممارسات الجيدة في هذه الحالة. آخذين بعين الاعتبار اختلاف أنواع ومستويات الموظفين 
التي يمكن أن تكون موجودة بداخل هيكلة المؤسسة. ومن المهم أيضاً النظر في أدوار 

وصلاحيات المستخدمين في وحدات الأعمال الخاصة بهم وفي السياسات الخاصة بالمنظمة. 

لذا يجب أن يُبني بيان الخدمات بشكل يسمح للمستخدمين بطلب الخدمات التي يرغبون 

فيها بسهولة لهم وبالنيابة عن الآخرين. كما يجب أن يحتوي البيان على تسهيلات للموافقة 
على طلبات الخدمات المقدمة. مكن لهذه الأمور الخاصة ببيان الخدمات أن تجعل حياة 

إدارة تقنية المعلومات أسهل بكثير في التمهيد لتقديم نظام جديد. 

قبل نشر أي بيان لخدمات تقنية المعلومات» ينبغي على كل من قسم تقنية المعلومات 
والمستخدمين الأساسيين أن يقوموا بفحص جميع الأمور المتعلقة بالمنتج. وهو أشبه 
بالفحوصات الضرورية المتعلقة بضمان جودة أي مبادرة جديدة. إن فحص بيان الخدمات 
يعني 55 فحص الوظائف التقنية التي تعد الهدف الطبيعي من الخدمة إضافة إلى 
فحص أكثر لمدى إمكانية الاستخدام الشخصي. فكلا الأمرين هام لتحقيق النجاح الكلي 

وتبني أي بيان لخدمات تقنية المعلومات. 

إن بيان خدمات تقنية المعلومات عبارة عن عملية إدارية هامة مسؤولة عن إنتاج 
ووصف لجميع خدمات تقنية المعلومات والاحتفاظ به. كما أن المعلومات الموجودة في 
بيان الخدمات المخطط له والمعد على نحو جيد ينبغي أن تعد لتعمل بشكل تشغيلي كما 
ينبغي أن تضمن أن المعلومات الخاصة بخدمات تقنية المعلومات المتفق عليها متاحة 

بشكل واسع لأولئك الذين لهم حق الوصول إلى تلك الخدمات. 
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تستطيع التقنية أن تلعب دوراً هاماً في تحسين عملية إدارة بيان الخدمات من خلال 
أمعة الأنضحطة الفعلية للعملية وبتاء عروض حَدماف فق خلال تة وعدة الأعمال: انا 
من خلال الوصول إلى المخرجات الناتجة من عمليات أخرى مرتبطة ببيان الخدمات. إن 
بيان الخدمات الفعال لأعمال تقنية المعلومات والمدار بشكل جيد يعد من العناصر الفعالة 
للحوكمة الرشيدة لتقنية المعلومات. 
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الجزء الرابع 
بناء أنظمة حوكمة تقنية معلومات فعالة ومراقبتها 


الفصل الثالث عشر 
أهمية البنية الموجهة 2 خدمات تقنية المعلومات لنظم 
حوكمة تقنية المعلومات 


يعلم المحترفون الذين عملوا مع نظم وتطبيقات تقنية المعلومات على مر السنين أن 
الأساليب والتقنيات المتبعة في عالم تقنية المعلومات دائمة التغير والتطور. ففي أغلب 
الأحيان نرى أن المفهوم الذي كان يعتبر جديداً وساخناً منذ سنوات قليلة فقط سرعان ما 
يندثر ويستبدل بمفهوم آخر جديد ومختلف كلياً. ونرى في حالات أخرى أنه سرعان ما 
تتطور وتتحول المفاهيم التي كانت في يوم من الأيام عبارة عن مفاهيم متقدمة جداً أو 
حتى غريبة بعض الشيء إلى ممارسات اعتيادية ومقبولة. إن تجهيزات وإعدادات نظام 
الحاسبات القائم على الخادم - العميل يعد واحداً من الأمثلة على هذا النوع من الممارسات. 
فربما كانت تلك الإعدادات في منتصف تسعينيات القرن الماضي تعد من المفاهيم الجديدة 
والمختلفة» إلا أنها الآن أصبحت اللغة المعيارية الموحدة في تقنية المعلومات. نجد أيضا أن 
إدارة تطبيقات تقنية المعلومات من خلال البنى الموجهة نحو الخدمات Service Oriented‏ 
Architecture (SOA)‏ تعد هي الأخرى من المفاهيم الجديدة ينا والتي ستصبح قري 
ie‏ من اللغة القياسية الموحدة في تقنية ا للعلومات. إننا نستخدم هنا الاختصار 5014 مع 
أن هناك آخرين يستخدمون أخياناً الاختصار (5325) Software as 2 Service‏ (البرمجيات 
كخدمة) للدلالة على المفهوم نفسه. فكلا الاختصارين يعني الشيء نفسه. إلا أننا نستخدم 
الاختصار 504 خلال هذه الفصول خلال شرحنا لهذا المفهوم. 

إن البنية الموجهة نحو الخدمات 504 هي إحدى وسائل نظم تقنية المعلومات 
التي يتم من خلالها تجزئة الوحدات الإجرائية المنطقية الخاصة بتطبيقات الأعمال أو 
الوظائف الفردية وتقديمها خدمات للتطبيقات الخاصة بالمستهلكين أو ا مستخدمين. إن 
الفكرة الأساسية هنا هي أن تكون خدمات تقنية المعلومات التي يتم تقديمها 5 بعيدة 
ومستقلة كلياً عن التنفيذ الفعلي للتطبيق أو النظام. الأمر الذي يجعل مطوري نظم تقنية 
المعلومات قادرين على بناء وتكوين تطبيقات جديدة من خلال اختيار وتجميع المكونات 
دليل المستول التنفيذي لحوكمة تقنية المعلومات اع 
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المختلفة لتقنية المعلومات. وهذا أشبه بالطريقة التي يقوم بها الطفل ببناء شكل جديد 
باستخدام قطع مختلفة من لعبة الليغو" ۴60]. 

سيقوم هذا الفصل بتقديم المفاهيم الخاصة بالبنية الموجهة نحو الخدمات 5084 
لنظم وتطبيقات تقنية المعلومات» كما سيناقش أيضا قضايا الرقابة الداخلية وحوكمة تقنية 
المعلومات الخاصة بتطوير تطبيقات تقنية المعلومات وعملياتها التشغيلية باستخدام هذه 
التقنية. يعد مفهوم البنية الموجهة نحو الخدمات 504 من ال مفاهيم التي تتطور بفاعلية 
وسرعة في مجال تطوير وتنفيذ التطبيقات الخاصة بتقنية المعلومات. فعندما يتحدث 
العاملون بإدارة تقنية المعلومات في المؤسسة عن البنية الموجهة نحو الخدمات 504 
ويقومون باستخدام هذا المصطلح كما لو كان تعبيراً جديداً ومؤثراً. فإنه يجب على مديري 
الأعمال أن يتمتعوا مستوى فهم عام فيما يخص هذا المفهوم: وكذلك الضوابط الداخلية 
والمفاهيم المحيطة بتطبيقات البنية الموجهة نحو الخدمات 504. 


تطبيقات البنية الموجهة نحو الخدمة (504) وتطبيقات تقنية المعلومات 
المدفوعة بالخدمة: 

يقوم بائعو الأجهزة والبرمجيات غالباً وكذلك مطورو تطبيقات البرمجيات العالية 
المستوى باستخدام مصطلحات متشابهة ولكنها مختلفة قليلا أثناء حديثهم عن مفاهيم 
البنية الموجهة نحو الخدمات 504. فربما نسمع تعبيرات كالهياكل الموجهة نحو الخدمة 
Service-Oriented Architectures‏ والتصميم الموجه نحو الخدمة Service-Oriented‏ 
51 والتصميم اموجه نحو الهدف «وزوء2 Object-Oriented‏ أثناء الحديث عن 
خصائص بعض التطبيقات الجديدة لتقنية المعلومات. فهذه التعبيرات تبدو متشابهة 
وتشير عموماً إلى الأساليب والطرق نفسها التي يتم من خلالها بناء وتطوير تطبيقات تقنية 
ا معلومات ونشرها في عالمنا اليوم الموجه نحو الإنترنت. وسنقوم عموماً في هذا الفصل 
باستخدام مصطلح البنية الموجهة نحو الخدمات Service-Oriented Architecture‏ 
للإشارة إلى هذا ال مفهوم على الرغم من أنه قد يختلف علماء الحاسب حول بعض تفاصيل 
المصطلح. 
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إن البنية الموجهة نحو الخدمات 504 عبارة عن نمط هيكاي لتقنية المعلومات يهدف 
إلى تحقيق التقارن أو الارتباط الضعيف 38ذامنامء 10056 بين وكلاء البرمجيات. وللمساعدة 
في توضيح التعريفات» يصف لنا هذا التقارن الضعيف ع١ناماهء‏ ©1005 كيف هكن للنظم 
المتعددة في الحاسب الآلي» حتى وإن كانت تلك النظم تستخدم تقنيات غير متوافقة» أن 
يرتبط بعضها ببعض لتقوم بتنفيذ المعاملات المطلوبة بغض النظر عن المعدات والبرمجيات 
والمكونات الوظيفية الأخرى الخاصة بتلك النظم. فعلى سبيل المثال» تعتبر الحاسبات الآلية 
اللمستخدمة في الشبكة عبارة عن نظم ضعيفة الترابط 5(75]6125 160م011ء 10085617 حيث 
يمكن لجهاز العميل أن يقوم بطلب بيانات من جهاز الخادم حتى لو كان النظامان أو 
الجهازان يعمل كل منهما بشكل مستقل عن الآخر. 

تسمح البنية الموجهة نحو الخدمات 504 بتحقيق التشغيل البيني أو التبادلي بين النظم 
ولغات البرمجة المختلفة لتقنية المعلومات. موفرةً بذلك أساس التكامل بين التطبيقات التي 
تعمل على منصات مختلفة من خلال الرسائل عبر وصلات شبكة الاتصالات. يتم بناء 
البرمجيات باتباع كل من المعايير المشتركة والمعايير الخاصة بالصناعة والتي هي عبارة عن 
مكونات محببة (مقسمة) ومعيارية. إن الخدمة هي وحدة من وحدات الأعمال التي تم 
إنجازها بواسطة مقدم الخدمات لتحقيق النتائج النهائية المرجوة لمستهلك الخدمة. إذ 
إن كلاً من مقدم ومستهلك الخدمة ما هو إلا أدوار يقوم بها وكلاء البرمجيات بالنيابة عن 
أصحابها. 

على الرغم من أن هذا الوصف قد يبدو للبعض تجريدياً بشكل كبير. فإن مصطلح البنية 
الموجهة نحو الخدمات 504 ليس بذلك المفهوم الصعب. فأسطوانات الموسيقا الموجودة 
في منازلنا وكذلك مشغلات الأقراص المدمجة تعتبر مثالاً على مفاهيم البنية الموجهة نحو 
الخدمات 504. فإذا كنت على سبيل المثال ترغب في تشغيل أحد الأقراص المدمجة» فإنك 
تقوم بوضع القرص الذي تريده في مشغل الأقراص لتقوم الوحدة الصوتية بتشغيله لك. 
فمشغل الأقراص في هذه الحالة يقوم بتقديم خدمة تشغيل الأقراص الموسيقية المدمجة. 
وعند الانتهاء من سماع القرصء يمكنك استبداله بقرص موسيقي مدمج آخر لسماعه. 
يمكنك أيضاً تشغيل القرص الموسيقي نفسه باستخدام مشغل أقراص محمول أو المشغل 
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الموجود بسيارتك الخاصة. فكلاهما يقوم بتقديم خدمة تشغيل الأقراص المدمجة نفسها. 
ولكن قد تختلف جودة الخدمة بسبب اختلاف الأنظمة الصوتية الموضوعة في كل منهما. 
وقد تؤدي نتائج خدمة تشغيل الأقراص الموسيقية إلى تغيير حالة المستهلك الذي يستمع إلى 
الموسيقا. فقد تتسبب في تغيير المزاج من مكتئب إلى سعيد. فنحن عملاء الخدمة 6غ1”1ء5 
01168 ومشغل الأقراص هو مقدم الخدمة 20110618 5615166 وتقوم مكتبة الأقراص 
المادية الموجودة بدور الوسيط للخدمة .Service Broker‏ 

تماماً كما هو الحال بالنسبة لمشغل الأقراص الذي يقدم لنا ا موسيقا المسجلة مسبقاً 
فإن السبب وراء رغبتنا بوجود شخص آخر يقدم لنا الخدمات أو ينجز لنا الأعمال هو أنهم 
جميعاً يملكون مصادر مختلفة وخبراء مختصين. ويكون استهلاك الخدمة في العادة أقل 
تكلفة وأكثر فاعلية من أن نقوم بإنجاز الأعمال بأنفسنا. فمعظمنا يعلم بأننا لسنا أذكياء 
ها يكفي لنكون خبراء في كل شيء. والقاعدة نفسها تُطبق على بناء نظم البرمجيات. 

ويقود هذا المفهوم الخاص باستخدام الخدمة الموسيقية لمشغل أقراص شخصي من 
مكتبة أقراص موسيقية إلى مفاهيم البنية الموجهة نحو الخدمات 504. حيث تعتبر 
الخدمة هي اللبنة الأساسية لهذه البنية 504 وأنها وسيلة للوصول إلى إمكانيات وقدرات 
أعمال قابلة للتكرارء ويتم تنظيمها لتكون واجهات برمجية بسيطة متاحة لجميع مزودي 
ومستهلكي الخدمة. يعرض لنا الشكل التوضيحي )١-٠١(‏ هذا المفهوم الرئيسي الخاص 
بتكوين البنية الموجهة نحو الخدمات 5048: كما يعرض الشكل الآلية التي يقوم من خلالها 
العميل أو طالب الخدمة بطلب الخدمات من اللقدم أو المجمع للخدمات من خلال وجود 
دليل أو بيان خاص بعروض الخدمات المتاحة لديهم. حيث سيقوم هذا البيان بسحب 
طلب الخدمة من أي مزود خدمة من بين العديد من مزودي الخدمات. وإعادة تلك 
الخدمة إلى طالب الخدمة ومن ثم إلى مزود الخدمة. إن مبدأ كل من بيانات الخدمات 
التي تم الحديث عنها في الفصل الثاني عشر من هذا الكتاب والبنية الموجهة نحو الخدمات 
4 هو أن يتم تبني واستخدام إحدى بيانات الخدمات المتعارف عليها لتقديم الخدمات 
المطلوبة من تقنية المعلومات. 
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ولكي تكون البنية الموجهة نحو الخدمات 504 أكثر فاعليةء فهناك حاجة إلى أن يكون 
لدى جميع مستخدمي نظم وخدمات تقنية المعلومات فهم واضح لمصطلح الخدمة. والأكثر 
أهمية في بعض الأحيانء هو الحاجة الفعلية لإدارة تقنية المعلومات لفهم ما يعنيه مصطلح 
الخدمة عندما تحاول القيام بتقديم خدمات تقنية المعلومات بدلاً من قيامها بتقديم النظم 
والعمليات التقليدية الجديدة. فخدمة تقنية المعلومات 5615166 1١‏ عبارة عن وظيفة 
معرفة جِيداً وقائمة بذاتها ولا تعتمد على سياق أو حالة الخدمات الأخرى. تعد الخدمات 
بمثابة وحدات البناء بالنسبة للبنية الموجهة نحو الخدمات 504 والتي يمكن اختيارها 
وربطها معاً لعمل خدمات أخرى أو تجمعيها في تسلسل معين لإنشاء عمليات أخرى. 


يتم تنظيم الخدمات في البنية الموجهة نحو الخدمات 504 بداخل ما يسمى بالسجل» 
وفيه يمكن جمع خدمات منفصلة لتشكيل تطبيقات مركبة منهاء ومن ثم يتم تركيب بعضها 
مع بعض فيما يسمى مخطط البنية الموجهة نحو الخدمات 126زمعنااط 504. وبشكل 
عام تتعرض إدارة تقنية المعلومات إلى متاعب متعلقة بالبنية الموجهة نحو الخدمات 
4 عندما تقوم بتقييم مجمل الضوابط العامة في المؤسسة الخاصة بها ومراجعة ضوابط 
محددة في التطبيقات. وعلى الرغم من أننا لا نهدف هنا إلى تحويل القارئ إلى عَالم في 
الحاسب الآلي أو مطور برمجيات» فإن هناك العديد من المفاهيم الهامة للبنية الموجهة نحو 
الخدمات 504 التي قد يتعرض لها كل من المختصين في تقنية المعلومات والإدارة المعنية 
عند مناقشة العمليات الخاصة بالبنية الموجهة نحو الخدمات 80۸4 وهذه المفاهيم هي: 
٠‏ تحبب (تقسيمات) مكونات البنية ا موجهة نحو الخدمات :(SOA Component Granularity)‏ 

وهو يصف لنا حجم المكونات التي تشكل النظام» إذ يحاول أي تطبيق بنية موجهة نحو 
تقديم خدمة (5084) أن يشكل مكونات أكبر أو مكونات محببة خشنة تعرف بخدمات 
الأعمال. وهي التي يتم بناؤها عادة من مكونات أخرى أصغر تدعى مكونات الحبيبات 
التاعمحة :وكذللك مق خدمات فة موجوةةامسنيقا: وهذا واقعي لأن المكونات ذات 
الحجم الكبير تجعل عملية فهم وإدارة وإعادة استخدام خدمات البنية الموجهة نحو 
تقديم الخدمة (504) أكثر سهولة بالنسبة للمؤسسة. 
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شكل توضيحي 1-۳( 
دور مجمع خدمات البنية الموجهة نحو الخدمات 5084 
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٠‏ واجهة الخدمة مقابل مفاهيم التطبيق: قم بفصل ما تفعله الخدمة عن الكيفية التي 
تمكنها من فعل ذلك. ويعد ذلك أمرا هاما نظراً لتبسيطه للمبدأ الذي يشير إلى أنه يجب 
أن تركز رؤية مستخدم الأعمال للبنية الموجهة نحو الخدمات 504 على ما ستفعله 
الخدمة بدلاً من تركيزه على تفاصيل عمل التقنية غير المريء قياساً على نظام السيارات. 

٠‏ عقود البنية الموجهة نحو الخدمة 504: قم بتحديد الالتزامات بين مقدم الخدمة 
وا لمستهلك أو طالب الخدمة. وقد يتضمن ذلك احتمالات أو توقعات للخدمة مثل 
الإتاحة والاعتمادية ومؤشرات الأداء الأساسية 16815 والتكلفة والدعم الفني. ويعد 
ذلك أمراً هاماً نظراً لأنه يساعد مستخدمي الأعمال على اتخاذ قرارات أعمال منطقية 
وعقلانية فيما يخص اختيار الخدمات التي يمكنهم الاعتماد عليها. إن هذه المبادئ 
مشابهة لاتفاقيات مستوى الخدمة المطروحة في الفصل السابع عشر من هذا الكتاب. 

٠‏ مفاهيم التقارن أو الارتباط الضعيف (1128م0011) ©1,005) في البنية الموجهة نحو 
تقديم خدمة (504): وهي الطريقة التي تستخدم لتصميم خدمات أكثر مرونة وأقل 
اعتمادية بعضها على بعض. ويساعد ذلك في ضم الخدمات وإعادة تجميعها معاً أو 
دمجها أو إعادة تركيبها. تعد البيئة الخاصة بالبنية الموجهة نحو الخدمات في ظل وجود 
عملية التقارن او الارتباط الضعيف ع«انامناهء 10056 من الأمور الهامة نظراً لأن عملية 
تجميع حلول الأعمال من الوحدات البرمجية السابق إنشاؤها تكون أسرع من عملية 
كتابة كل وظيفة عمل جديدة من البداية. 

إن عملية تبني أو اعتماد المؤسسة للبنية ا موجهة نحو الخدمات 504 ليست عبارة عن 
عملية إجراء تطبيق واحد في - الواحدة ‏ وإنما هي بنية أو هيكلة شاملة يتم من خلالها 
تنظيم وربط جميع عمليات تقنية ا لمعلومات بعضها مع بعض. فالخدمات المقدمة من 

خلال تطبيقات الإنترنت حيث يكن للمستخدم من أن يقوم بسحب أي مرجع .111111 

فقط من خلال قيامه بالنقر المزدوج عليه لهو خير مثال على مفهوم البنية الموجهة نحو 

الخدمات 504. يوضح الشكل التوضيحي (7-1) التكوين الافتراضي للبنية الموجهة نحو 

الخدمات 504 على مستوى اللؤسسة. 
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شكل توضيحي (۲-۱۳) 


التركيب الخاص بالبنية الموجهة نحو الخدمات على مستوى المؤسسة 
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المركزية لذبي رغيرها ليك لؤبسة مستواعات بيات المؤسسة 
ا : 
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يوجد في المستوى السفاي من الشكل مصادر بيانات المؤسسة ونظم أخرى متعددة 
المنصات. سيتم تعريف جميع العناصر على أنها خدمات كأحد التطبيقات الخاصة على 
سبيل المثالء والذي رها تم بناؤه من خليط من مكونات الخادم أو الحاسبات المركزية 
القدهة أو تطبيقات الويب حيث تم تجميعها مع المكونات المطلوبة من خلال ناقل الخدمة 
الموائم أو التطبيق المناسب. عندما تحتاج أي من خدمات التطبيقات تلك لعنصر من 
عناصر البيانات (خدمة أخرى) فإنه سيتم رفع الطلب إلى ناقل الاتصالات ثم يعود إلى مصدر 
البيانات المناسب. سيتم بناء مثل هذا التطبيق الشامل باستخدام أدوات تطوير برامج 
التطبيقات المقدمة من قبل المورد (البائع) كمايكروسوفت دوت نت" Microsoft Dot Net‏ 
أو أوراكل بيا ويب لوجيك'" عه 1طا۷ 884 0120165)» وسيتم تهيئته وتنسيقه من خلال 
عمليات محددة وواضحة. 

في الغالب لن يجد المسئول التنفيذي في المؤسسة وال معني بهذا الأمر مثل هذه البيئة 
الكاملة للبنية الموجهة نحو الخدمات في المؤسسة التقليدية. وإنما ستقوم إدارة تقنية 
المعلومات المؤسسية وبدعم من إدارتها بتطبيق البيئة الخاصة بالبنية الموجهة نحو الخدمات 
خطوة خطوة بشكل نموذجيء متبعة في ذلك المخطط الشامل لبناء مثل هذا النموذج. 
فمع زيادة نمو استخدام خدمات الإنترنت التي أحاطت معظم برمجيات وبيئات تقنية 
العلوماق المباعة:والقدمة كمكونات رة مستتقلة يدلا من أن تكن تطييفات كاملة: 
يستطيع كبار مديري الأعمال أن يتوقعوا مشاهدة العديد من تطبيقات البنية الموجهة نحو 
الخدمات المتقدمة 504 الجزئية أو حتى الكاملة. 


حوكمة البنية الموجهة نحو الخدمة وقضايا الرقابة الداخلية والمخاطر: 

لا تتم عملية تحول المؤسسة إلى بيئة البنية ا موجهة نحو الخدمات الخاصة بتقنية 
المعلومات فقط من خلال قيامها بشراء حزمة من البرمجيات وبتدريب الكادر التقني 
على استخدامها ومن ثم افتراض توجه الكادر نحو تطبيقه والعمل به. إن البنية الموجهة 
نحو الخدمات 504 هي أكثر من مجرد طريقة جديدة لتنظيم نظم تقنية المعلومات 
الموجودة حالياء فهي بحاجة إلى تخطيط مفصل للانتقال إلى تلك البيئة الجديدةء وكذلك 
إلى سياسات وإجراءات جديدة لتقنية المعلومات. وما هو أهم من ذلك: هو حاجتها إلى 


دليل امستول التنفيذي لحوكمة تقنية المعلومات ۳ 


الفصل الثالث عشر 


تطبيق تدريجي ومنظم جداً بحيث يتم جلب عمليات تقنية المعلومات إلى بيئة البنية 
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الموجهة نحو الخدمات 504 بطريقة مُخكمة. في بعض الحالات نرى أن مزايا وفوائد 
العمليات التشغيلية للبنية الموجهة نحو الخدمات 504 ستكون واضحة أمام كبار المديرين 
وغيرهم. على سبيل المثالء فإن أي مؤسسة قامت بتحويل قسم كبير من تطبيقاتها إلى بيئة 
الويب المعتمدة على جافا 858[ أو دوت نت 001-۸ فإنها تستطيع غالبا وبكل سهولة 
تبرير وتأييد مزايا تحول أنظمتها القديمة والعمليات الأخرى إلى بيئة البنية الموجهة نحو 
الخدمات 504. 

ينبغي على كبار المديرين ال معنيين تكوين فهم جيد وعام عن عمليات البنية الموجهة نحو 
الخدمات 804 هذا بالإضافة إلى فهم بعض الخطوات الضرورية اللازمة لإدارة ا مؤسسة 
ولمهام تقنية المعلومات لديهم لكي يتم الانتقال إلى البنية الموجهة نحو الخدمات 504. 
بعض تلك الخطوات تتطلب فهم الضوابط الداخلية لحوكمة تقنية المعلومات» كما تحدثنا 
في الفصل الرابع من هذا الكتاب. كما ينبغي أيضاً على كبار المديرين أن يكونوا مرنين مع 
ضوابط البنية التحتية لتقنية المعلومات الخاصة ف بيئة البنية الموجهة نحو الخدمات 2504 
هذا بالإضافة إلى فهمهم الجيد لضوابط إدارة ا لمشروعات» كما سنرى في الفصل السادس 
عشر من هذا الكتاب. يحتاج المدير العام المهتم إلى فهم القليل من خصائص البنية الموجهة 
نحو الخدمات 504 وحوكمتها وقضايا الرقابة الداخلية والمخاطر المتعلقة بها. سنتحدث 
في هذا الفصل باختصار عن تطبيق العمليات الفعالة الخاصة بالبنية الموجهة نحو الخدمات 
804 من وجهة نظر حوكمة تقنية المعلومات. وستناقش الأقسام التالية أهمية كل من 
إعداد المخططات الأولية والتفصيلية لتطبيق البنية الموجهة نحو الخدمات 5084 وتنظيف 
التطبيقات والعلميات القائمة حالياً بشكل استباقيء وتأسيس سياسات وإجراءات مناسبة 
للبنية الموجهة نحو الخدمات 504 وفحص وتطبيق البنية الموجهة نحو الخدمات 2504 
بطريقة فعالة. 


تخطيط وبناء مخطط تطبيق البنية الموجهة نحو الخدمة وتنفيذه: 
يشير الحرف الثالث للاختصار 504 إلى (البنية) ١إuاءهانطءءه,‏ فإنشاء البنية الفعالة 
يعد بمثابة الخطوة الأولى الأساسية لإطلاق بيئة البنية الموجهة نحو الخدمات 504 في 
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المؤسسة. قد يكون المدير التنفيذي للمعلومات 010 في المؤسسة قد تعرض للمفاهيم 

الخاصة بهذا المصطلح أو أن تكون المؤسسة قد قامت بتنفيذ تطبيق مفرد شبيه ببيئة البنية 

ا موجهة نحو الخدمات 504 والذي نال الكثير من التعليقات الحماسية والثناءء ولكن 

المؤسسة بحاجة إلى بناء خطة شاملة أو إطار عمل لإطلاق أي تطبيق أو تنفيذ أي عملية 

تخص البنية الموجهة نحو الخدمات 504. 

إن الفكرة الرئيسية للوصول إلى البنية الفعالة االموجهة نحو الخدمات هو تحديد الخطة 
الموجودة أو بناء الخدمة باستخدام الوحدات المبنية التي ستعرف 504. وكما تحدثنا 
سابقاً فإنه يجب أن تظهر خدمات 504 كما لو كانت أشبه بمجموعة من القطع الخاصة 
بلعبة الليغو 1.860 وهي لعبة الأطفال الشائعة حيث يمكن من خلالها تركيب تلك القطع 
لتكوين مجموعة مختلفة من الهياكل المعقدة ثم يتم فصل بعضها عن بعض لتركيب هيكل 
أو شكل آخر مختلف. على كل حالء فإن خدمات 504 أكثر من مجرد قطع خاصة بلعبة 
الليغو والتي يمكنها فقط أن تكون بأشكال مكعبات أو مثلثات. فخدمات 504 أوسع 

بكثير وقد يكون لها العديد من الأبعاد ا مختلفة عموماً. لذا ينبغي أن تحدد بنية 504 

للمؤسسة عناصر الخدمات المختلفة الخاصة بها والمستفيدين من الخدمات» هذا بالإضافة 

إلى مسار تدفق النشاطات ونقاط اتخاذ القرارات بين المستفيدين المعنيين بالعملية على 

النحو التالي: 

٠‏ أصحاب الأعمال: يعمل امالك أو مستخدم النظم على توفير متطلبات التطبيق اللازمة 
لتنفيذ أحد القدرات أو الحلول أو العمليات الجديدة الخاصة بالأعمال. كما يجب على 
صاحب العمل أو أعضاء فريق دعم تقنية المعلومات أن يقوموا بتطوير نماذج الأعمال 
business 5‏ وذلك لتسهيل فهم أي متطلبات خاصة بخدمات تطبيق تقنية 
المعلومات. كما يحتاج صاحب العمل أيضاً إلى تحديد المتطلبات غير الوظيفية كجودة 
الخدمة المتوقعة بالنسبة للقدرة أو الحل أو العملية. 

٠‏ مهندسو 504: لإطلاق مبادرة البنية ا موجهة نحو الخدمات 804 تحتاج المؤسسة إلى 
تعيين مهندس ماهر في 504 لكي يقوم بتحليل متطلبات الأعمال والخروج منها بتصاميم 
خدمات وأعمال. وقد يقرر مهندس 504 على سبيل المثال أن يعيد استخدام مكونات 
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الفصل الثالث عشر 


موجودة حالياً بدلاً من إنشاء مكونات جديدة. وعندما يقترح المهندس تنفيذ خدمة أو 
عملية جديدة أو التغيير في خدمة أو عملية موجودة, فإنه يجب عليه تسليم مواصفات 
التصميم الخاصة بمخططات الحالة والنماذج العملية وتصميم الواجهات. كما يعمل 
مهندس 504 على صياغة المتطلبات غير الوظيفية للمكون المراد تطبيقه بشكل رسمي 
متضمناً المتطلبات الخاصة بالإتاحة والأمن والأداء الخاصة به. 

٠‏ مطورو التطبيقات: يقوم مطور التطبيقات بتنفيذ المكونات بناءً على مواصفات التصميم 
المقدمة من مهندس 504: ووضع الضوابط الداخليةء ووضع خطط الفحص أو الاختبار 
بناء على هذه المواصفات. وللمساعدة في تحقيق التقارب بين التقنية وا منهجيةء فإنه 
ينبغي على مطور التطبيقات استخدام الأجزاء التي وضعها مهندس 504 من أجل 
التنفيذ متضمنة الأكواد البرمجية ونموذج التحسينات. 

٠‏ مدير الجودة: يجب على مدير الجودة في ا مؤسسة أن يستخدم المدخلات التي قام كل 
من صاحب العمل وال مهندس والمطور بتقديمها لمراجعة وتدقيق مدى صحة الخدمة أو 
العملية التي تم تنفيذها. ثم يقوم مدير الجودة بعد ذلك باستخدام خطط الفحص 
أو الاختبار التي قام المطور بتسليمها ليقوم بتنفيذ اختبار الحلول المقدمة في البيئة 
التجريبية ويتحقق من سلامة مقاييس الجودة والآثار الجانبية والخصائص غير الوظيفية. 

بمجرد أن يتم تحديد الفريق الرئيسي للعملء فإنه ينبغي على المؤسسة تطوير مخطط 
لبيئة 504 الذي يشير إلى حالة الهدف المطلوبء أو إلى الصورة الكاملة لما ينبغي أن يظهر 
به تطبيق 504 بعد اكتماله. يجب على مخطط 504 في المقام الأول أن يضع كل خدمات 
الأعمال التي يتعين القيام بها ومتطلبات وصف الخدمات ذات العلاقة ومقاييس الأداء 

ومعايير التشغيل البيني أو التبادلي. 

إن من شأن مخطط كهذا أن يقدم ملخصاً شاملاً وحتى "أوامر السير" بشأن الوضع الذي 
ترغب المؤسسة وإدارة تقنية المعلومات في الانتقال إليه مع 504. بالطبع فإنه يجب على 
المؤسسة ألا تبدأ بتنفيذ أو حتى توافق على إستراتيجية 504 ما لم يكن هناك فهم جيد 
للفوائد التي سيتم تحقيقها من هذا النهج. يوضح الشكل التوضيحي (17-) بعض الفوائد 

الرئيسية التي يجب أن تدركها المؤسسة جراء الانتقال إلى بيئة 5014. 
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انتقال التطبيقات والعمليات القائمة حالياً إلى بيئة 504: 

إن انتقال العمليات والتطبيقات الموجودة سواء كانت فظما قدممة أو تظبيقات قائمة 
على الخادم أو تطبيقات أكثر حداثة كتطبيقات الهواتف المحمولة القائمة على شبكة الويب 
قد يشوبه بعض التحديات نفسها والتي قد يتذكرها بعض العاملين القدامى في أواخر 
تسعينيات القرن الماضي وهو الخوف من مشكلة العام ٠٠٠١‏ (۲2). وعلى الرغم من 
نسيان معظم الأخصائيين لذلكء فإن العديد من البرامج القائمة على لغة البرمجة :0701© 
التي تم بناؤها في تسعينيات وثمانينيات القرن الماضي أو حتى قبل ذلك الوقت» كانت 
بها حقول خاصة بتاريخ التقويم النظامي بالصيغة 7711100ز. وقد اعتمدت العديد 
من القرارات البرمجية المرتبطة بتواريخ مختلفة على اتخاذ الإجراءات النظامية عن طريق 
ترتيب هذه التواريخ. وقد تسبب العام ٠٠٠١‏ في تسجيل هذه القرارات البرمجية القائمة 
على التاريخ ب .٠٠٠١‏ لقد كانت المخاوف تدور حول أن العديد من النظم سوف تتوقف 
نظراً لتواريخ البرامج غير الصالحة والخارجة عن المدى أو التسلسلء كما أن عملية التوثيق 
بالنسبة للعديد من التطبيقات وقتها كانت ضعيفة. وقد بذلت الإدارات الرئيسية ومدققو 
تقنية المعلومات جهودا كبيرة للاستعداد لمشكلة 82216. 
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الفصل الثالث عشر 


شكل توضيحي (۳-۱۳) 
الفوائد الرئيسية جراء استخدام بيئة 50۸ 
فيما يلي النقاط التي يجب أخذها في الاعتبار من قبل إدارة تقنية المعلومات والإدارة العامة في 
تحول نظم وخدمات تقنية المعلومات الخاصة بهم إلى ديئة البنية الموجهة حو الخذمات 50۸. 
تحسين رؤية الأعمال: تعمل بيئة 504 عموماً على تكامل النظم الموجودة وتجميع بيانات من 
وجهات نظر أكثر ثباتاً ودقة لبيانات العملاء والتي تتضمن: 
مَعَلَوَمات خت هذة اللحظة لتحسين خدهة العملاء: 


ة معلومات عبر المؤسسة تستهدق (1:1) من النشاظات: 


ه معلومات متناغمة ودقيقة وأكثر شمولاً تساعد على اتخاذ قرارات أفضل. 


تحقيق مرونة الأعمال: في حال التطبيق الكاملء بإمكان بيئة 504 إيجاد بنية تحتية لبرامج 
تكاملية ورشيقة لتحقيق الاستجابة السريعة لحاجات الأعمال: 


« التسليم السريع لقدرات الأعمال الجيدة. 

٠‏ يقلل الآثار الناجمة عن تغير الأعمال والتقنية. 

« حماية الاستثمارات أثناء خلق وظيفة جديدة. 

كسب كفاءة الأعمال: تبسيط وأتمتة وتمكين تتبع ورؤية أفضل لعمليات الأعمال في المؤسسة: 

٠‏ مشاركة وتبادل عمليات الأعمال بشكل سري داخل وخارج الجدار الناري لنظم تقنية المعلومات. 

٠‏ إنشاء جسور بين مخازن البيانات لضمان سلامة البيانات على نحو أفضل. 

٠‏ إدارة القرارات الخاصة بالأعمال بصورة استباقية من خلال مؤشرات أداء رئيسية من مصادر 
أخرى. 

تحسين عمليات حوكمة تقنية المعلومات: نظراً لقيام بيئة 504 بتصنيف وتنظيم جميع عمليات 
تقنية المعلومات في المؤسسة بشكل أفضلء فإنه سيتم إدارة وضبط الحوكمة والرقابة الشاملة لهذه 
العمليات بشكل أفضل. 
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وتتعرض إدارات تقنية المعلومات لبعض القضايا المشابهة عندما تخطط وتعد للتحول 
إلى 504. وفي حين أن المخاوف هذه الأيام ليست في تواريخ ,00801 ذات الصيغة 
4 غير الموثقة» فإن الإدارة التقليدية لتقنية المعلومات لديها طبقات من التطبيقات 
والبرامج والنظم الزائدة التي لا هكن الوصول إليها في الغالب على نحو متبادل (ومشاركتها)» 
وكذلك العديد من التكاملات غير المتناغمة التي تحدث من نقطة إلى أخرى في تطبيقاتها. 
وربما تمثل هذه المشاكل التحدي الأكبر في موضوع تطبيق العمليات الفعالة لبيئة 504. 
وبالنسبة لأي فريق يقوم بتطبيق بيئة 504 على مستوى اممؤسسةء إذا لم يكن هذا الفريق 
مُلما بالنظم والعمليات والهياكل التنظيمية لتقنية المعلومات القائمة حالياً فهناك احتمال 
قوي ن يفشل تطبيق 5084. 


سياسات وإجراءات بيئة 5084: 
إن المفهوم العام الشامل والرائع لبيئة 504 هو أنها تقوم باستخدام وحدات خدمية 
يمكن تجميعها وإعادة تجميعها أسوة بالمثال الذي أشرنا إليه سابقاً عن القطع الخاصة 
بلعبة الليغو. على كل حال فإن بيئة 504 لن تعمل في المؤسسة على نحو جيد في حال 
قررت إحدى وحدات الأعمال فيها بأنها تريد أن تكون مختلفة بعض الشيء وأن الوحدات 
الخدمية الخاصة بها في الواقع لا تتناسب مع غيرها. فباستخدام مثالنا الخاص بقطع لعبة 
الليغو فربما يكون هناك وحدة معينة ترغب في أن تكون القطع الخاص بها بحجم مختلف» 
وهي في هذه الحالة لن تتناسب مع أي من الوحدات الأخرى. 
وعلى الرغم من أن هناك دائماً أسباباً وراء حاجة وحدة أو أخرى من وحدات الأعمال 
إلى أن تكون مختلفة (كالقضايا الأمنية العالية)» فمن الطبيعي أن تحتاج المؤسسة إلى نوع 
من أنواع السلطة المنوط بها وضع المعاييره وذلك لوضع السياسات وسن القوانين المتعلقة 
بخدمات 504 الخاصة بها. بالنسبة للعديد من المؤسساتء فإن الكيانات الحكومية التي 
تقوم بوضع وفرض السياسات الخاصة ب 504 ومعايير المؤسسة تسمى عادة مراكز 804 
للإبداع أو مراكز الجدارة 504. وتتكون مراكز الجدارة تلك من ممثلين أو وكلاء من كل 
وحدة من وحدات الأعمال التي تتأثر مخطط وخطط 504 الخاصة با مؤسسة. فتقريباً کل 
من أجزاء مخطط 504 الخاص بالمؤسسة - متضمناً ذلك الخدمات التي سيتم بناؤهاء 


دليل امستول التنفيذي لحوكمة تقنية المعلومات eV‏ 


الفصل الثالث عشر 


وكيفية تحديدهاء وكيفية التشغيل البيني لها - سيقوم بتعريف سياسات 504 الخاصة 
بالمؤسسة يكل ضمني: نظراً لاحتواء مخطط 504 الخاص بالمؤسسة على العديد من 
السياسات الضمنية: فمن المهم دا أن يكون أول إجراء يتخذه مركز الجدارة الخاص ب 
804 والذي تم إنشاؤه مؤخراً هو التصديق على هذا المخطط واعتباره هدفاً مشتركا. 

ومن المهم بالطبع بالنسبة لكل مجموعة معنية بداخل المؤسسة أن تفهم الآثار الناتجة 
عن مخطط البنية الموجهة نحو الخدمات (504) وتوافق عليها نظراً لتأثيرها في أعمالها 
ونشاطاتها اليومية. ولهذا السببء فإن التصديق على مخطط 504 لا يجب أن يأخذ شكل 
الموافقة الروتينية دون دراسة. بل يجب على كل شخص معني التفكير ملياً ليعرف كيف 
ستؤثر هذه الرؤية للبنية ا موجهة نحو الخدمات 504 فيهم» متضمناً ذلك النتائج الشاملة 
لجو تقدنة اواك 

ينبغي على المؤسسة وضع سياسات الامتثال بمتابعة وتقييم التنفيذ الإلزامي لسياسات 
وعمليات بيئة 504 الخاصة بها. هذا من شأنه أن يضع "قواعد الطريق" ويوفر الحكم 
على نشاطات بيئة 504 القائمة على ا مخطط المتفق عليه. إن عمليات التنفيذ الآلي مفضلة 
عن التنفيذ حسب المكان الذي يمكن أن تطبق فيه. على كل حالء لا يمكن أتمتة جميع 
السياسات» فقد يكون هناك بعض الخطوات التي تتطلب التقييم والتدخل البشري. 

تغطي الحوكمة السليمة لبيئة 504 عدة نقاط إلزامية خلال الدورة الكاملة لحياة 
الخدمة. يصف الشكل التوضيحي (6-17) أدوار ومسؤوليات الأشخاص الرئيسيين 
المشاركين في تطبيق بيئة 504 والذين أصبحوا جزءا لا يتجزأ من دورة حياة تطوير 
النظم الخاصة بتلك البيئة. سيتم الحديث عن المفاهيم الخاصة بدورة حياة تطوير 
النظم (0.آ(51) eاCyc System Development Life‏ وأهميتها في حوكمة تقنية 
المعلومات في الفصل الخامس عشر من هذا الكتاب والذي يدور حول موضوع تطبيق 
نظم تقنية المعلومات المتكاملة. يتم تقسيم سياسات وعمليات بيئة 504 عادة إلى 
فئتين هما: )١(‏ سياسات حوكمة أثناء التصميم لضمان توافق أدوات بيئة 504 مع 
متطلبات التصميم المنصوص عليها في مخطط بيئة 504. (۲) سياسات حوكمة أثناء 
التنفيذ لضمان توافق خدمات 504 مع متطلبات التشغيل التي تم التفاوض بشأنها 
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بين مقدم الخدمة والمستهلك. إن هذه العمليات الخاصة بحوكمة بيئة 5084 تشبه 

بعض الشيء اتفاقيات مستوى الخدمة 514s‏ التي تمت مناقشتها في الفصل السابع عشر 
من هذا الكتاب» حيث ستقبل العمليات التشغيلية لتقنية المعلومات بشكل رسي 
بتوفير التعاملات الخاصة مجموعة امس تخدمين وفقاً لجدول زمني ففق عا مويف 
كما ستقوم تقنية المعلومات بتسليم ملف التحديثات والعمليات المنجزة وفقاً للجدول 
الزمني نفسه المتفق عليه. فمن خلال 504 يمكن أن نقوم بعمل سلسلة من الاتفاقيات 
الصغيرة بين مقدمي ومستهلكي الخدمات. 

شكل توضيحي )٤-۱۳(‏ 


أدوار ومسؤوليات أصحاب المصلحة خلال دورة حياة بيئة 5014. 


تقوم دورة حياة بيئة 5014 بوصف وتنفيذ سلسلة من النشاطات ونقاط اتخاذ القرار بين أصحاب 
المصلحة - مستخدمين وتقنية معلومات - ا معنيين بهذه العملية. ينبغي أن تشتمل دورة حياة تطوير 
بيئة 504 الفئات التالية من المشاركين الرئيسيين 


أصحاب الأعمال: يقوم أصحاب الأعمال في بيئة 504 بتوفير المتطلبات اللازمة للأعمال المزمع 
تنفيذها متضمناً ذلك الإمكانات أو الحلول أو العمليات. وأفضل طريقة لصياغة هذه المتطلبات 
هو أن يتم وضعها في نموذج عمليات الدعم والذي يقوم بتغطية نشاط الخدمة. فاستخدام نماذج 
العمليات يسهم في توفير بيئة تجعل عملية فهم متطلبات تطبيق تقنية تقنية المعلومات أكثر سهولة. كما 
يحتاج صاحب العمل أيضاً إلى تحديد الاحتياجات غير الوظيفية (مثل جودة الخدمة) للقدرة أو الحل 
أو العملية. 


المهندس المعماري لبيئة 504: عادة ما يقوم المهندس المعماري لبيئة 504: بصفته عضواً أساسياً في 
فريق تقنية المعلومات, بتحليل متطلبات الأعمال وتقسيمها إلى عناصم خاصة بتصميم عملية الخدمة. 
فقد يقرر المهندس إعادة استخدام أحد المكونات الموجودة بدلاً من إنشاء مكون جديد. في هذه 
الحالة فإنه سيقرر تحويل هذا المكون إلى عنصر في دورة حياة بيئة 504 ليتمكن من إعادة استخدام 
هذا المكون القائم حالياً. عندما يتم تحديد الخدمة أو العملية الجديدة أو المراد تطبيقهاء فإن 
مهندس 504 يقوم بتسليم مواصفات التصميم في شكل مخططات الحالة ونماذج العملية وتصاميم 
للواجهات الأمامية. كما يعمل مهندس 504 على صياغة المتطلبات غير الوظيفية للمكون المراد 
تطبيقه بشكل رسمي متضمناً الإتاحة والأمن والأداء. 
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مطور بيئة 504: يقوم المطور بتنفيذ المكونات بناءَ على مواصفات التصميم المقدمة من مهندس 
بيئة 504 كما يقوم أيضاً بإنشاء خطط اختبار بناءً على هذه المواصفات. وللمساعدة في تحقيق 
التقارب بين التقنية والمنهجية» فإنه ينبغي على المطور استخدام الأجزاء التي وضعها مهندس 508 
لتطبيقها متضمنا ذلك الأكواد البرمجية وأدوات تحسين النموذج. 


مدير الجودة في بيئة 804: يستخدم مدير الجودة المدخلات التي قام كل من صاحب العمل 
وا مهن دس والمط ور بتوفيرها لمراجعة وتدقيق مدى صحة الخدمة أو العملية التي تم تنفيذها. ثم 
يقوم مدير الجودة بعد ذلك باستخدام خطط الفحص أو الاختبار التي قام المطور بتسليمها ليقوم 
بتنفيذ اختبار الحلول المقدمة في البيئة التجريبية والتحقق من سلامة مقاييس الجودة والآثار الجانبية 
والخصائص غير الوظيفية. 


مشغل بيئة 504: يقوم المشغل باستقبال الحلول التي تم اختبارها والتأكد من صحتها ويقوم 
بتطبيقها داخل العمليات ال معيارية لتقنية المعلومات لجعل هذا الحل متاحاً للمستخدمين والمستهلكين 
له. حيث يقوم هو أو هي باستخدام المواصفات التي تمت صياغتها والخاصة بالمتطلبات غير الوظيفية 
لتشغيل الحلول الافتراضية التي تتفق مع اتفاقيات مستوى الخدمة 5145 المطلوبة من قبل مستهلكي 
التطبيقات. إن الحلول الخاصة بحوكمة تشغيل 504 هي التي تقدم هذه الأنواع من القدرات من 
خلال فرض المتطلبات غير الوظيفية واتفاقيات مستوى الخدمة. 





سياسات بيئة البنية الموجهة نحو الخدمات 504 خلال فترة التصميم: 
إن العنصر الرئيسي في سياسات وعمليات بيئة 504 وقت التصميم هو ضمان أن 

الخدمات سيتم بناؤها وفقا للمواصفات المحددة في الخطة الخاصة مخطط بيئة 504. 

وعلى وجه الخصوص. فإنه ينبغي تصميم سياسات لضبط وتقييد تصرفات وسلوك مصممي 

ومطوري الخدمات نيابة عن كل جهود بناء بيئة 504 في المجالات العامة التالية: 

٠‏ قابلية التشغيل البيني: لا بد من التصريح في مخطط 504 عن وسائل موحدة لتوفير 
التشغيل البيني بين خدمات تقنية المعلومات. ويكون ذلك عادة من خلال مجموعة من 
المعايير. 

٠‏ قابلية الاكتشاف: قد تحتاج الخدمات لسمات أو خصائص محددة كوصف سهل للعمل 
ومعلومات متعلقة بموقع الخدمة داخل بيان للتصنيف أو التسجيل الذي قد تم إنشاؤه 
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من قبل. إن هذه العناصر تجعل من الممكن اكتشاف ومعرفة الخدمات التي يمكن أن 
جه أو رفا فنعلل السياطة: 

٠‏ الأمن: ينبغي التصريح في مخطط 504 عن وسائل موحدة لتوفير الأمن عبر جميع خدمات 
4. كما ينبغي أن يكون نمط ومعاملات هذا الأمن متسقا مع كل الممارسات الخاصة 
بحوكمة أمن تقنية المعلومات في المؤسسة. كما ناقشنا في الفصل العاشر من هذا الكتاب. 

٠‏ التفرد: لا يجب أن يكون للخدمات الجديدة أسماء الخدمات نفسها التي تم إنشاؤها 
من قبل. يمكن للسياسات أن تساعد في التأكد من أن المجموعات لا تواجه هذه المشكلة. 

٠‏ امتثال الواجهة: إن طريقة استخدام وتدشين جميع الخدمات يجب أن تكون موحدة. 
ومع أن خدمات 504 تعد أكثر من مجرد عناصر برمجية لتقنية المعلومات» فإن هذه 
العملية مشابهة لأمر التشغيل 0073123284 1012 الموجود في نظام ميكروسوفت ويندوز. 
لذا يجب أن يتم فرض هذا الشكل المعياري للواجهة عن طريق السياسة. 

٠‏ امتثال صيغ البيانات: كما ذكرناء يجب أن يكون الهدف الرئيسي لخدمات 804 هو 
إعادة استخدام عناصر الخدمات. فالطريقة الشائعة للمحافظة على هذه الميزة (إعادة 
الاستخدام) هي إنشاء صيغ بيانات مشتركة تعرف با لمخططات 567225. إذ القيام بهذا 
العمل سيضمن إمكانية استخدام حقل العنوان التابع لإحدى الخدمات من قبل خدمة 
أخرى حتى لو كان هناك اختلاف في الطريقة التي تخزن بها الخدمات بياناتها: لذا يجب 
أن يتم فرض المخططات المشتركة عن طريق السياسة. 

٠‏ المقاييس: يجب أيضاً القيام بوضع معلومات وتقارير إحصائية تتعلق بقضايا تصميم 
الخدمة من خلال السياسة. لن تتمكن المؤسسة ولا فريق تدقيق تقنية المعلومات من 
قياس العمليات التشغيلية لبيئة 504 ما لحم يكن هناك بعض المقاييس الموضوعة لكل من 
الأهداف والحد الأدنى من معايير الأداء الخاصة بالتشغيل. 


يجب أن تتصل عمليات 5084 خلال التصميم بصورة نمطية مع دورة حياة تطوير 
النظم 521٤٥‏ الخاصة با مؤسسة. وسيتم الحديث عن دورة حياة تطوير النظم وأهميتها 
في حوكمة تقنية المعلومات في الفصل الخامس عشر من هذا الكتاب. كما يمكن تطوير 
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دورة حياة تطوير خدمات مشابهة في هذه الحالة. إن اعتماد بيئة 504 يطرح تحديات 
بالنسبة للمؤسسات التي اعتادت استخدام تطبيقات تقنية المعلومات كوسيلة ممعالجة 
المتطلبات الخاصة بالتطبيقات. عادة ما يشار إلى الهياكل والعمليات الجديدة بدورة حياة 
4 والتي تكون مطلوبة لتوفير الأساس للرشاقة التنظيمية وتروج لنجاح عملية اعتماد 
بيئة 504. حيث أصبح دمج عمليات دورة حياة 504 مع الهياكل التنظيمية الفعالة من 
العناصر الرئيسية في إطلاق العمليات الفعالة لبيئة 50#8. 

تقع معظم أقسام تقنية المعلومات في المؤسسة تحت ضغط شديد من أجل تقديم 
حلول فعالة من حيث التكلفة والوقت لعمليات التشغيل الخاصة بأعمالها. ولتحقيق 
أهداف هذه الحلول فإن هذه الإدارات تستخدم مكونات ووحدات تقنية وتنظيمية 
مشتركة» هذا بالإضافة إلى استخدام المبادرات التي تتم عبر المشاريع» وذلك لتعزيز التعاون 
من خلال قسم تقنية المعلومات. فعندما يتم الجمع بين هذه الحلول العقلية الخاصة 
بتقديم الخدمات (كما هو الحال في الخدمة ذات القيمة وليس كما في التقنية)» فإنه من 
الممكن لإدارة تقنية المعلومات أن تجد نفسها تتحرك باتجاه الطريق المؤدي إلى بيئة 504. 

وكجزء من هذا الطريق المؤدي إلى بيئة 504 فإنه ينبغي على جميع الأطراف سواء 
كانت تقنية المعلومات أو الإدارة أن يكون لديهم العقلية التي تفكر من حيث سلاسل 
القيمة والتي تدرك أن هذه الخدمة هي عبارة عن شيء تم إيجاده لتحقيق رضا العملاء. 
ومع أنه لا يمكن إنكار أن القول أسهل من التطبيق الفعال» فإن المؤسسة بحاجة إلى إنهاء 
التفكير التقليدي بالتطبيقات ال مركزيةء وذلك من خلال تطبيق عمليات تنظيمية مهيكلة 
تتخطى حدود المشروع ودورات حياتها. عندما تتحد العقلانية وال منهجية والأشخاص 
وا منظمة والتقنية بشكل ناجح» عندها يمكن أن يعود تبني 504 بفوائد عظيمة على 
المؤسسة من حيث الحجم والفاعلية وخصوصاً الخفة والرشاقة. 


سياسات وعمليات بيئة 504 خلال التشغيل: 
يتضمن وقت التشغيل عملية التطوير بالكامل» والتجريب» والإنتاجية لنظم بيئة 504. 
وسينتج عن سياسات الحوكمة خلال التشغيل احتكاكات سياسية أقل داخل المؤسسة نظراً 
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لأنها في الغالب تقيد نظم تقنية المعلومات بالنيابة عن مستهلكي خدمة 504. بالنسبة 

للجزء الأكبر» فإن السياسات الخاصة بوقت التشغيل تكون موجودة للتأكد من أن الخدمات 

تعمل "كما ينبغي" طبقاً لتوقعات متلقي الخدمة. ويشمل هذا: 

٠‏ اتفاقيات مستوى الخدمة :514s‏ تمت مناقشة هذه الاتفاقيات في الفصل السابع عشر 
من هذا الكتاب. حيث يجب أن يتفق كل من مقدمي خدمات 504 ومستهلكيها على 
التوقعات الخاصة بالأداء طبقاً لاتفاقية مستوى الخدمة: هذا بالإضافة إلى المقايبس التي 
تثبت بأن الخدمات تعمل كما هو متوقع. 

٠‏ التحقق: يجب أيضاً أن يتفق كل من مقدمي ومستهلي الخدمات على الطريقة التي 
يجب اتباعها لتحديد هوية المستهلكين للتعريف عن أنفسهم. فبناء على معايير الحوكمة 
الخاصة بوقت التشغيلء فإنه ينبغي أن يتضمن التحقق قضايا مثل نظم تحديد الهوية 
واستخدام بطاقات الأمن. 

٠‏ التصريح: يجب أن يكون هناك عمليات أمنية معمول بها لتحديد ما إذا كان مقدم 
الخدمة مسموحاً له استدعاء الخدمة آم لا 

ه التشفير: وهو جزء من العمليات القوية لأمن المعلومات. لذا يجب أن يكون هناك 
معايير تشفير لإبقاء الرسائل مشفرة أو مشوشة بحيث لا يمكن قراءتها بسهولة من قبل 
أشخاص غير مصرح لهم. 

٠‏ التنبيهات والإشعارات: يجب وضع شروط لإطلاق التنبيهات من خلال إجراءات وذلك 

لإرسالها إلى المعنيين. ويمكن أن تشير التنبيهات إلى شروط خاصة بالأعمال وكذلك شروط 


٠‏ المقاييس: ينبغي وضع مؤشرات أداء رئيسية ومقاييس أثناء التشغيل لتوفير مؤشرات 
هكن استخدامها لاحقا لتقييم الأداء. 


تقوم السياسات الخاصة بوقت التشغيل عادة بالتشديد على الفريق المسئول عن 
عمليات تشغيل تقنية المعلومات ونظم تقنية المعلومات بالنيابة عن مستهلك الخدمة. 
حيث يمكن أن تشمل هذه العمليات طلبات الدعم الفني والاستجابة الفورية للتنبيهات 
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والإشعارات. ويعد تمكين طلب الاستجابة الأكثر سرعة لتغيير الشروط الخاصة بوقت 
التشغيل من الأمور المهمة في بيئة 504. 

اها كما هو الخال بالذننة تقاط التففيقن الجمركة اللوجودة عاق حَدَوَة الدولة 
والتي تقوم بفحص كل من جواز السفر والأمتعة» فإن العملية الفعالة لحوكمة تقنية 
المعلومات تضع نقاط تفتيش للتأكد من أن الاتفاقيات بين الإدارات يجري تنفيذها والالتزام 
بهاء متضمناً ذلك مستودع سجل خدمات 504 الذي يعتبر بمثابة نقطة إنفاذ لسياسات 
وعمليات 504 خلال وقت التصميم. لذا يجب أن يكون لدى نظام برمجيات التحكم 
وسائل للعمل في تقاظ إنفاة للسياسات والغمليات: الخاصة يتشغيل 508 متضمنا ذلك 
عمليات التحقق من الرسائلء وذلك لضمان التأكد من أنه مصرح لها باستدعاء الخدمة 
ويعد هذا أحد المطالب التشغيلية المهمة. 

لقد أكدنا أهمية اتفاقيات مستوى الخدمة 814s‏ في العديد من الأماكن خلال حديثنا 
عن عمليات بيئة 5014. حيث تقوم اتفاقيات مستوى الخدمة المعرفة جيداً والتي يتم 
متابعتها على نحو جيد بمراقبة صحة وأداء الخدمة وضمان تقديم الخدمات للمستهلكين 
كما تم الاتفاق عليه. 

تتغير متطلبات وسمات بيئة 504 المشار إليها في الفقرات السابقة باستمرار أكثر بكثير 
من أي منطق وظيفي للخدمة. لذا يجب أن يدرك كبار المديرين أن المهمة الأساسية لحوكمة 
بيئة 504 هي تعزيز وضمان السلوك المرغوب فيه بين الأشخاص المشاركين والنظم. كما 
يجب على إدارة تقنية المعلومات الإفصاح بوضوح عن سياسات بيئة 504 الخاصة بهاء ثم 
تقوم بعد ذلك بفرض هذه السياسات بشكل متناغم وثابت طوال دورة حياة بيئة 504. 

في الأيام الأولى لظهور 504: كان مهندسو هذه البيئة يقضون عدة أسابيع أو حتى شهور 
ليقوموا بعملية التوثيق الدقيق لهذه السياسات في كتب ضخمة والتي مم يهتم أحد بقراءتها. 
وهذا أشبه بالخطط القدهة للتعافي من كوارث تقنية المعلومات التي أصبحت تسمى الآن 
خطط استمرارية تقنية المعلومات كما وضحنا في الفصل العاشر من هذا الكتاب. فإن م 
تكن عملية تحفيز المشاركين على الإمام بهذه السياسات مسألة تتسم بالصعوبة الشديدة 
فإن إجراء التغييرات على هذه السياسات سيكون أكثر صعوبة. فقد كانت العمليات القديمة 
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للمراجعة والموافقة اليدوية لازمة التطبيق لإجبار الجميع على قراءة القوانين الجديدة 
والالتزام بها. لكن سرعان ما أصبحت هذه المراجعات مأزقا مما شجع الناس على الالتفاف 
حول هذه السياسات مما أدى إلى إبطال المهمة الرئيسية لحوكمة 508. 


في حين أن هذا الأمر ينطبق على جميع السياسات الخاصة بتقنية المعلومات: إلا أن 
الممارسات القوية والفعالة لإدارة سياسة 504 تعد هنا وبشكل خاص من الأمور المهمة. 
وعلى الرغم من المسؤوليات الحقيقية الملقاة على عاتق إدارة تقنية ا معلومات» فإنه يجب 
التعبير عن سياسات 504 الخاصة با مؤسسة بصيغ واضحة هكن تعريفها وتغييرها وإزالتها 
بسهولة حسب الحاجة. هذا بالإضافة إلى أنه يجب أن تكون العمليات مفعلة لتقوم بإنفاذ 
تلك السياسات الخاصة ببيئة 504 بصورة فعالة كما هو مطبق طوال دورة حياة 504. 
لذا يجب أن يتلقى المشاركون تغذية راجعة فورية من خلال إدارة السياسات التي تعتبر 
من العناصر الحاسمة في عمليات حوكمة 504. 

تعمل الإدارة الفعالة لسياسات 504 على إزالة العقبات والاعتراضات على حوكمة 
04 وذلك من خلال توفير دليل واضح يتعلق بما هو متوقع أن يكون متوافقاً مع المخطط 
الموضوع والمتفق عليه لبيئة 504. لذا نجد أن حلول إدارة السياسات تسهم في تحسين 
المساءلة وضمان نتائج متناغمة. 


البنية الموجهة نحو الخدمة وحوكمة تقنية المعلومات: 

لقد تحدثنا عن العديد من جوانب حوكمة تقنية المعلومات المتعلقة ببيئة 25048 
ولكن للأسف م نتحدث إلا عن القليل من السمات ولميزات العديدة لبيئة 804. ففي 
ظل مفهوم 504 الساعي إلى فصل عناصر الوظائف البرمجية إلى مكونات مستقلة يمكن 
تبادلها كما هكن ربطها أو إعادة تعريفها بسهولة: فإننا سنرى وظائف أكثر وأكثر مرتبطة 
بمفهوم 504 في عامنا المتقدم المعتمد على شبكة الإنترنت. على سبيل المثالء معظم بائعي 
برمجيات قواعد البيانات هذه الأيام كشركة أوراكل 0۲٤1‏ قاموا بتطبيق مبادئ 504 في 
هياكل قواعد بيانات الخاصة بتخطيط موارد المؤسسة الصادرة عنهم» كما أننا سارى مزيداً 
من التركيز على 504 في منتجاتها خلال السنوات القادمة. 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات eto‏ 


الفصل الثالث عشر 


نكاد نجزم بأن المؤسسة التقليدية التي تستخدم مجموعة كاملة من أدوات 504 هذه 
الأيام لن تبدأ في البداية العمل وفقا للنموذج الكامل لتطبيق 504. وإنما قامت العديد 
من الشركات حتى اليوم بتحويل واحد أو أكثر من تطبيقاتها الرئيسية إلى نموذج خدمات 
الويبء وهو نهج مشابه لمفهوم 504. وقد تم توضيح تلك العملية الخاصة بتطبيق 
خدمات الويب والخاصة بتحويل أحد التطبيقات الحالية إلى بيئة قائمة أو معتمدة على 
شبكة الإنترنت في الشكل التوضيحي (0-1). كما هكن العثور على مثال من هذا النوع 
من التطبيقات في واحد من الحلول البرمجية الخاصة بإدارة علاقات العملاء والمقدم من 
خلال شركة سيلز فورس.كوم «SalesForce.com (www.salesforce.c0/c0 pany)‏ 
وهي مقدم برمجيات ناجح جداً لا يبيع منتجاته البرمجية من خلال الأقراص المدمجة التي 
تحتوي على البرمجيات المطلوبة والمجلدات التي تحتوى على الوثائق» وإنما كل ما تقدمه 
شركة سيلز فورس.كوم 5316515016.0012 يكون في شكل ويب. 

وذلاً:من القطنيقات'الفردية::والاستهفلة:قنإن تطبيقاتق خدمات الويب دكؤن متحتلفة: 
حيث تتصل مكونات التطبيق بعضها مع بعض عبر شبكة الإنترنت» وتتصل أيضاً مكونات 
التطبيق مع مكونات تطبيقات أخرى باستخدام برتوكولات الاتصالات المفتوحة. فهي 
عبارة عن مكونات قائمة بذاتها وتصف نفسها ويمكن استخدامها من قبل تطبيقات أخرى. 
وباك فحيةمؤكذ أن اللديرين محيواعهون أعداد! مترايكة هن شات خدمات الوت 
في المستقبل. حيث سيتم وضع العديد من ال موارد المختلفة فيما نطلق عليه "سحابة" 
تقنية المعلومات 01010 1 وهي بمثابة توصيلات تخزينية للعديد من الملفات ومصادر 
البيانات وغيرها من المواد. ويمكن للمرء أن يتطرق بفكره إلى محرك البحث جوجلء عندما 
ننظر في هذا المفهوم السحابي» حيث يستطيع المستخدم الحصول على واحد من العديد 
من نماذج البحث الناتجة بغض النظر عن مجال موضوع البحث المطلوب. وقد تكون 
تطبيقات خدمات الويب مرتبطة بسحابة الإنترنت تلك فضلا عن موارد التخزين الخاصة 
بها مع الوصلات القائمة مع النظم ا محليةء سواء كانت شبكات محلية أم لاسلكية. وقد تم 
الحديث في الفصل التاسع من هذا الكتاب عن المفهوم الشامل للحوسبة السحابية عندما 
تم تطبيقها على حوكمة تقنية المعلومات. 


و دليل المستول التنفيذي لحوكمة تقنية ا معلومات 


أهمية البنية الموجهة نحو خدمات تقنية المعلومات لنظم حوكمة تقنية المعلومات 


شكل توضيحي )0-١7(‏ 


نموذج تطبيقات خدمات الويب 


لولس وسائل المستخلم 


CPO 


الخدمات المستخدمة والتي يمكن الوصول إليها من خلال أي جهاز متصل بشبكة الانترنت 


خليط من موارد 
أخرى للخدمة کے 





Cy) 
NN 





دليل المسئول التنفيذي لحوكمة تقنية المعلومات ev‏ 


الفصل الثالث عشر 


قد تتكون بيئة 504 في المؤسسة هذه الأيام إما من بيئة نظم كاملة مطبقة بشكل كبير 
أو مشروع تطوير لتحويل بعض التطبيقات القائمة حالياً أو الجديدة إلى 504. وكلاهما 
يواجه بعض المخاوف الرئيسية الخاصة بضوابط الحوكمة. وسيحتاج كبار المديرين الذين 
لديهم إمام بالضوابط العامة لتقنية المعلومات التي تتبع نهجاً تقليدياً بشكل كبير لنظم 
تقنية ا معلومات» إلى إعادة التفكير بتلك الأساليب المستخدمة ف المراجعة. ووفقاً لمثالنا 
السابق حول قطع لعبة الليغوء فإننا بحاجة إلى مراجعة الضوابط وإجراءات الحوكمة 
المتعلقة بهذه المكونات العديدة المنفصلة, متضمناً ذلك الضوابط والصلاحيات المحيطة 
بكل مكون على حدة وكذلك الروابط فيما بينهم. 

رها تكون القضية الرئيسية لحوكمة تقنية المعلومات في بيئة 804 هي الحاجة إلى 
مخطط 504 شامل يغطي جميع عناصر الخدمات المتفق والموافق عليها من قبل الأطراف 
اللفتاركة: إن تتك الاعجازات الخاصة بوعدات الخدمة قد هت غالا إل ماهو أتعد من 
مجرد قسم تشغيل بل إلى ما هو أبعد من المؤسسة بأكملها فقد تصل إلى مزودي أو موردي 
خدمات آخرين. لذا فإن هناك حاجة إلى نظام قوي للصلاحيات وإلى ضوابط بداخل كل 
عنصر من عناصر الخدمات. وبالعودة مرة أخرى إلى مثالنا الذي يتحدث عن قطع أو 
وحدات لعبة الليغوء فكل وحدة خدمية يجب اعتبارها واحدة من قطع هذه اللعبة التي 
را تكون عبارة عن مزيج من عناصر برمجية وموارد بيانات. ويجب على وحدة الأعمال 
أن تجعل العناصر غير المملوكة من قبل أي من هذه القطع (الوحدات الخدمية) متاحة 
للوحدات الأخرى من خلال عمليات إفصاح وصلاحيات واضحة. كما يجب اعتماد وظيفة 
مهندس 504 بدرجة ما للقيام بمراجعة تلك العناصر الخدمية ووضع القواعد والإجراءات 
الداعمة. 

تعد الإجراءات القوية المتعلقة بأفضل الممارسات الخاصة بالبنية التحتية» والتي تحدثنا 
عنها في الفصل السابع من هذا الكتاب على أنها جزء من معايير الأيزوء من الأمور الأساسية 
في بيئة 504. فلا تتم عملية إطلاق المنصات الخاصة ببيئة 504 عن طريق تطبيق كل 
شيء بأسلوب تطبيق الكل مرة واحدة. بل» سيتم إضافة أو تعديل أو حذف الخدمات 
والعمليات بشكل اعتيادي وعلى أساس مستمر. التحدي هنا أكثر تعقيداً بكثير من ضوابط 


۸ دليل امستول التنفيذي لحوكمة تقنية ا معلومات 


أهمية البنية الموجهة نحو خدمات تقنية المعلومات لنظم حوكمة تقنية المعلومات 


خاصة مكتبة برامج مستقلةء بل ستكون المخاوف متعلقة بعنصر برمجي واحد في التطبيق. 
لذا ففي ظل بيئة 804 فإن التغيرات التي تطرأ على الوحدة الخدمية التي يمكن أن تكون 
جزءاً من العديد من العمليات الأخرى التي رها لا يستطيع صاحب أو مقدم الخدمة أن 
يفهم ا من هو الشخص الآخر الذي يستخدم هذه الوحدة الخدمية. وعلى ذلك فقد 
يكون لمشكة التحكم بخدمة واحدة آثار على العديد من الآخرين. لذا فإن هناك حاجة 
إلى ضوابط قوية في الفحص والجودة. 

إن العديد من الإجراءات العامة لحوكمة تقنية المعلومات التي تم الحديث عنها في 
فصول أخرى من هذا الكتاب يمكن تطبيقها أيضاً في بيئة 504. على سبيل المثال» الضوابط 
الداخلية لإطار العمل ©0050 التي تمت مناقشتها في الفصل الرابع وضوابط حوكمة تقنية 
المعلومات الخاصة بإدارة أمن وسرية المعلومات التي تمت مناقشتها في الفصل العاشر من 
هذا الكتاب ملائمين تماماً في بيئة 5014. وعلى الرغم من أن هذه الضوابط الأخرى ملائمة 
لبيئات مختلفة: فإن الشكل التوضيحي (1-175) يوجز الضوابط الخاصة بحوكمة تقنية 
المعلومات في بيئة 504. إن هذه الخطوات الإجرائية تتحدث عن بيئة م تصل المؤسسة 
فيها بعد إلى درجة التناغم مع بيئة 504 بنسبة ٠٠١‏ ولكنها تتحرك باتجاه بيئة 50/4 
من خلال مشروع تطبيقي مستمر وفقا لمخطط متفق عليه. 

لقد ناقش هذا الفصل بيئة 504 كما لو كانت مجموعة خاصة من عمليات حوكمة 
تقنية المعلومات. ومع ذلك» فإننا عندما نقوم بتحريك نظم وعمليات تقنية المعلومات أكثر 
وأكثر باتجاه بيئة خدمات شبكة الويب» حيث ستصبح عمليات 504 هي المعيار وليست 
الاستثناء. لذا فالمديرون بحاجة إلى التفكير بنظم وعمليات تقنية المعلومات الخاصة بهم 
وفقاً لنموذج بيئة 504. 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات ۹ 


الفصل الثالث عشر 


شكل توضيحي )1-١7(‏ 
الضوابط الخاصة بحوكمة تقنية المعلومات في بيئة 504 
.١‏ هل قامت المؤسمة بتطوير إستراتيجية شاملة لبيئة 504 تخص تقنية المعلومات وعمليات 
التشغيل الخاصة بأعمالهاء والموافقة عليها؟ 
أ. إذا كانت هناك إستراتيجية معتمدةء هل تم تنفيذها بالكامل؟ أو ما مدى اكتمالها في الوقت 
الحالي؟ 
ب. إذالم يكن هناك خطة إستراتيجية رسمية لبيئة 504 فما الخطط المستقبلية لتنفيذ هذا الأمر؟ 
ج. هل توجد برامج تعليمية تم تقدهها لتوضيح فوائد بيئنة 504 العائدة على كل من الأعمال 
ومستخدمي تقنية المعلومات؟ 
۲. هل تم تعيين ا مدير المسؤول عن قيادة وتنسيق الأعمال والجهود ال مبذولة في بيئة 504 في 
المؤسسة؟ 
. هل حصلت المؤسسة على أي من برمجيات 504 أو قامت بتقييمها؟ 
أ. هل تم وضع معايير تقييم رسمية لاختيار البرمجية المناسبة؟ 


ب. بالنسبة لأي برمجية معمول بهاء هل كان هناك برنامج فحص وتقييم رسمي لتحليل المنتج 
البرمجي فيما يخص التطبيق الكامل؟ 


.٤‏ هل تم تحديد تطبيقات "الأعمال الحساسة" على أنها جزء من إستراتيجية 80۸؟ 
أ. بالنسبة للتطبيقات الحساسة التي لا زالت غير قائمة على خدمات شبكة الويب» هل يوجد هناك 
مخططات موضوعة موضع التنفيذ لتحويلها إلى بيئة 504؟ 
ب. هل تم تعريف وتوثيق طبقة عمليات الأعمال الحساسة بشكل رسمي لتطبيقات بيئة 504؟ 


ج. هل هناك دليل على أن طبقة خدمات التطبيقات تركز على تكامل التشغيل الداخليء ومعتمدة 
على قاعدة البيانات» والمكونات, والبنية التحتية؟ 


5504 هل تم تكوين فريق رسمي لإدارة أو قيادة خدمات‎ .٥ 


أ. هل تمت مراجعة الأهداف والمخاطر الخاصة بمدير الخدمة مع الإدارة؟ 





ب. هل تم شرح ومناقشة خطط المؤسسة الخاصة ببيئة 504 مع الأعضاء الرئيسيين في فريق الإدارة؟ 


E‏ دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


أهمية البنية الموجهة نحو خدمات تقنية المعلومات لنظم حوكمة تقنية المعلومات 


1. هل هناك دليل على أن خطط 504 متكاملة تماماً مع خطط استمرارية الأعمال في المؤسسة؟ 
۷. نظراً لأن المؤسسة تتجه نحو بيئة 5014: فهل تمت عملية التحويل الأوَّلي للتطبيقات من وضعها 
التقليدي إلى بيئة 504 على أساس الفحص؟ 
أ. كجزء من أي تحول تجريبي إلى بيئة 504 هل تمت مراجعة وتقييم ضوابط التطبيقات القانمة 
حالياً؟ 
ب. هل يشتمل أي جزء من عملية تحويل تطبيق ما إلى بيئة 504 على فحص للسمات الخاصة 
بمكونات "التوصيل والتشغيل" :213 320 ع٠1‏ والتي تعد من الفوائد المفترضة للعمليات 
التشغيلية لبيئة 508؟ 


ج. هل هناك دليل على أن التكاليف والفوائد الناجمة عن أي عملية تحويل لبيئة 5014 قد تم 
تقييمها رسمياً؟ 


۸. بناء على الفحوصات والتقييمات» هل جميع التطبيقات المحولة لبيئة 504 متسقة مع المتطلبات 
الأمنية الخاصة بتطبيقات ونظم تقنية ال معلومات المؤسسية؟ 

.٩‏ على أساس الاختبارات» هل تم وضع إجراءات واستيعابها من قبل كل من تقنية المعلومات 
وام مديرين ا مسؤولين عن التطبيقات المحولة إلى بيئة 5504 

.٠‏ هل تم تحديد وتقييم للتكاليف والفوائد الناجمة عن أي تحويل لبيئة 504 قبل عمل أي 
تحويلات مخطط لها على نطاق واسع؟ 





دليل المسئول التنفيذي لحوكمة تقنية المعلومات e‏ 


الفصل الثالث عشر 


ملاحظات: 

.١‏ ليجو 1860 اسم علامة تجارية لعدد كبير من عناصر البناء وأي شكل من أشكال 
الألعاب في أشكال وألوان مختلفة. والتي يمكن توصيلها معاً لخلق هياكل مختلفة للألعاب. 
ومن ثم تفكيكها بسهولة لخلق شيء آخر. هذا المنتج من ألعاب الأطفال متاح في جميع 
أنحاء العالم. فهو نموذج جيد للبناء من خلال تركيب المكونات. مزيد من المعلومات يمكن 
العثور عليها في الموقع 1مء.800.آ:187951. 

*. إطار عمل نت. (716) أو دوت نت عبارة عن نموذج برمجة شامل ومترابط لبناء 
التطبيقات. .www.microsoft.c0/1¢†‏ 

۳. بيا 884 هو أحد وحدات شركة أوراكل. مكن العثور على معلومات عن تطبيق 
الويب لوجيك عنذعه.آاء18 الخاص به في موقع www.oracle.com/bea/index.hm1‏ 


ع دليل امستول التنفيذي لحوكمة تقنية ا معلومات 


الفصل الرابع عشر 
إدارة تهيئة ومحفظة تقنية المعلومات 


إن أي نظام تقنية معلومات مثبت» سواء كان جهاز حاسب لوحي أم حاسباً آلياً محمولاً 
خاضا ناخد اللديرين أو نظام غاذما داعما يلكت هكات أمد القروع أو مركز انات 
رئيسياً لإحدى الشركات؛ سيكون به العديد من المكونات التي تشمل محافظ البرامج 
التطبيقية والملفات وقواعد البيانات ونظم التشغيل وأجهزة الاتصال ووثائق الدعم الخاصة 
بهذه الإجراءات. وينبغي أن تكون كل هذه المكونات مترابطة بين جميع الأنظمة وعبر 
المؤسسة بأكملها لكي 0 قادرة على الاتصال والعمل بعضها مع بعض. ويطلق على هذا 
التجميع الكامل لمكونات تقنية ا معلومات اسم تهيئة تقنية ا معلومات 126102ناع8 005 1۲ 
في المؤسسة. وكأحد العناصر الهامة في حوكمة تقنية المعلومات» فإنه ينبغي أن يكون هناك 
عمليات معمول بها لإدارة التوافق بين مكونات هذه التهيئة لتقنية المعلومات وحالتها 
كالتأكد من قدرة هذه المكونات على التحدث والتواصل معاً. لذا ينبغي على المؤسسة 
أن تمتلك نظاماً فعالاً لإدارة تهيئة تقنية ا معلومات» وذلك لدعم عمليات تقنية ا معلومات 
اوةه 


يتعرض مديرو الأعمال غالباً إلى مسائل تتعلق بتهيئة تقنية المعلومات عندما يتلقون 
بلاغاً أو رسالة خطأ من إحدى إدارات المؤسسة التابعين لها ويكتش فوا أنه ليس بإمكانهم 
قراءة الملف الذي تم إرساله. وتكون أول ردة فعل للمدير الاتصال بفريق الدعم الفني 
التابع لإدارة تقنية المعلومات التابعة له أو لهاء وفي الغالب يتم تتبع المشكلة لنكتشف أن 
الوحدة التي قامت بإرسال البيانات التي لا يمكن قراءتها قد امك باستخدام أحد الإصدارات 
الخاطئة للبرمجية أو حتى أنها قد استخدمت برمجية غير صحيحة با مجمل. وفي الغالب 
يكون سبب مشكلة تلك البرمجية الخاطئة أو غير القابلة للقراءة هو الإخفاق في تحديث أحد 
عناصر البرمجية في مكان ما في شبكة تقنية المعلومات الخاصة بالشركة. فقد يكون التقرير 
أو العملية عيذ في الموقع الذي يتم تشغيلها فيه خالا ولكنها غير متوافقة مع نظم وأجهزة 
أخرى. ويعد هذا أحد الأمثلة على المشاكل المتعلقة بتهيئة تقنية المعلومات!. 
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هناك حاجة للمحافظة على إعدادات ثابتة ومتوافقة بين الموارد الخاصة بتقنية 
ا معلومات» سواء كانت ملفات بيانات وبرامج محملة على جهاز حاسب شخصي محمول 
أو على موارد موجودة في مكان ما في شبكة تقنية المعلومات الخاصة بالشركة. إذا حدث 
تغيير أو تعديل على أحد المكونات يكون هناك غالباً حاجة لانعكاس ذلك على جميع 
المكونات الأخرى المترابطة معه. وثعرف الإدارة الخاصة بمراجعات تلك العناصر العديدة 
لتقنية المعلومات وإصداراتها باسم إدارة تهيئة تقنية المعلومات IT configura‏ 
116 وينظر إلى هذا المجال غالباً على أنه مجرد رقابة فنية فقط على تقنية 
المعلومات» في حين أنه يجب أن ينظر للإدارة الفعالة لتهيئة تقنية المعلومات على أنها أحد 
المكونات الهامة والضرورية لحوكمة تقنية المعلومات. 

يناقش هذا الفصل أهمية عمليات إدارة تهيئة تقنية المعلومات في كل المؤسسات ويوجز 
الأدوات الرئيسية لحوكمة تقنية المعلومات اللازمة لإيجاد نظام فعال لإدارة التهيئة الخاصة 
بالمؤسسة Configuration Management System (CMS)‏ مع التركيز على إنشاء ما 
يسمى قاعدة بيانات إدارة التهيئة .Configuration Management Database (CMDB)‏ 
وقد تم تسليط الضوء على بعض عناصر عمليات إدارة تقنية المعلومات في الفصل السادس 
من هذا الكتاب الذي كان يدور حول أفضل الممارسات الخاصة بآيتل وإدارة خدمات تقنية 
المعلومات: إلا أن هذا الفصل يؤكد مرة أخرى أهمية إدارة تهيئة تقنية المعلومات بوصفها 
أحد الضوابط الهامة لحوكمة تقنية المعلومات. 

كما سيقدم ويناقش هذا الفصل أيضاً إدارة محفظة تقنية المعلومات على أنه أحد 
المفاهيم الهامة في حوكمة تقنية المعلومات. وكما هو الحال بالنسبة للعديد من الأفراد 
الذين يستثمرون في أحد صناديق الاستثمار التعاونية أو في أحد صناديق التداولات التجارية 
للبورصة الذي يحتوي على محفظة أوراق الاستثمار المالية ذات العلاقة, فهناك مزايا قوية 
الحوكنة اتقدرة وات هة قازةموارك تفنةاللعلوماتب:وذلك ااا غات 
أو محافظ التطبيقات والبنية التحتية والمشاريع وموارد تقنية المعلومات ذات الصلة. 
وسوف نصف هنا كيف يمكن لنهج إدارة محفظة تقنية المعلومات الخاصة باستثمارات 
تقنية المعلومات أن يؤدي إلى العديد من الفوائد لصالح إدارة تقنية المعلومات والمؤسسة 
بكاملها. وتعتبر إدارة محفظة تقنية المعلومات واحدة من الطرق الفعالة لإدارة استثمارات 
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تقنية المعلومات والتي هكن أن توفر رقابة مركزية على ميزانيات تقنية المعلومات وقضايا 
إدارة مخاطر تقنية المعلومات والتوافق الإستراتيجي لاستثمارات تقنية المعلومات. فإدارة 
محفظة تقنية المعلومات تسهم في دعم ممارسات محسنة لحوكمة تقنية المعلومات. 


مفاهيم إدارة تهيئة تقنية المعلومات: 

يوجد العديد من المعدات والبرمجيات ومكونات البنى التحتية الخاصة بتقنية المعلومات 
في أي نظام من أنظمة تقنية المعلومات المؤسسية. وهي تمتد من خادم قواعد بيانات مع 
مجموعة من الأجهزة الطرفية المتصلة به والتي تستطيع أن تخدم وحدة أعمال صغيرة 
وصولاً إلى مجموعة كبيرة من عمليات تشغيل تقنية المعلومات على مستوى الشركة والتي 
تخدم مرافق مختلفة في جميع أنحاء العام. بعض هذه المكونات تكون مترابطة فيما بينهاء 
في حين أن البعض الآخر يكون قائماً بذاته ومنفصلاً عن باقي المكونات. إن تهيئة تقنية 
المعلومات في المؤسسة تعد أكثر من مجرد قائمة من المكونات البرمجية والأجهزة والمعدات 
المثبتة. بل يجب على السجلات الخاصة بالتهيئة أن تحتفظ بأمور مثل روابط الواجهة 
والتعريفات الخاصة بإصدار المكون والخصائص المثبتة وجميع الأمور الأخرى التي تصف 
تلك العناصر والبنود الخاصة بتهيئة تقنية المعلومات في الحالات التي تم تثبيتها فيها. 

لف قطرقنا اا إلى مفاهيم إدارة تهيئة تقنية المعلومات في الفصل السادس من 
هذا الكتاب والذي يدور حول إطار العمل آيتل والمفاهيم الخاصة بإدارة خدمات تقنية 
المعلومات. كانت إدارة تهيئة تقنية المعلومات هناك عبارة عن عنصر واحد فقط من بين 
سلسلة من الممارسات الجيدة للإطار آيتل. في حين أن هذا الفصل ينظر بعمق أكبر بقليل 
إلى أدوات وعمليات إدارة تهيئة تقنية المعلومات. وسيوضح هذا الفصل اذا تعد إدارة 
تهيئة تقنية المعلومات أحد المكونات الهامة للعمليات الرشيدة لحوكمة تقنية المعلومات. 

وعلى الرغم من عدم وجود أي تعريف موحد أو متفق عليه لنظام إدارة تهيئة تقنية 
المعلومات. حتى إن البحث عن طريق شبكة الإنترنت سوف يعطي أيضاً العديد من 
التعريفات المختلفة» فإن المنظمة التقنية لوضع المعايير والتي مقرها الولايات ا متحدةء وهي 
۴۴ تعد من المصادر الجيدة للحصول على مثل هذا التعريف. وقد كانت هذه المنظمة 
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عرف سابقاً باسم جمعية مهندسي الكهرباء والإلكترونيات Institute for Electrical and‏ 
.Electronic Engineering‏ ويشار إليها حالياً باستخدام الأحرف الأولى من اسمها حيث 
أصبح الاسم الدارج لها هو 1888 " آي تريبل إي". حتى الموقع الخاص بهذه المنظمة 
1 ل! يشير إلى الاسم الأصلي الكامل لها. وتَعَرُف منظمة 181515 إدارة تهيئة 
تقنية المعلومات على أنها إحدى العمليات الخاصة بالمؤسسة أو بإدارة تقنية المعلومات» 
حيث تحتوي هذه العملية على العناصر التالية: 


٠‏ التعريف: تشتمل عملية إدارة تهيئة تقنية المعلومات على مخطط تعريفي قوي يعكس 
بنية جميع موارد تقنية ال معلومات» ويحدد مكوناتها وتاريخ التعديل وأنواع هذه الموارد. 
الأمر الذي يجعل هذه الموارد مميزة ويمكن الوصول إليها بشكل أو بآخر. 

٠‏ التحكم: يتعين على نظام إدارة تهيئة تقنية المعلومات التحكم في الإصدارات الخاصة 
بجميع المنتجات والتغيرات التي تحدث على الموارد الخاصة بالتهيئة طوال دورة حياتها 
من خلال وجود ضوابط معمول بها تضمن تناغم الموارد الخاصة بمكونات تقنية المعلومات 
من خلال وضع ما يعرف منتجات الخط المرجعي .baseline products‏ 

٠‏ تدوين الحالة: يجب على نظام إدارة تهيئة تقنية المعلومات أن يسجل ويبلغ عن حالة 
كل مكون من مكونات بنية تقنية المعلومات وطلبات التغيير وذلك أثناء جمع المعلومات 
الإحصائية الحيوية المتعلقة بتلك المكونات الموجودة في منتجات التهيئة. 

٠‏ التدقيق وا مراجعة: ينبغي أن تكون هناك عمليات مراجعة معمول بها تقوم بها إدارة 
تهيئة تقنية المعلومات للتحقق من سلامة اكتمال جميع بنود تهيئة تقنية ا معلومات 
والحفاظ على التوافق فيما بين المكونات المترابطة بداخل التهيئة من خلال ضمان أن هذه 
المنتجات هي عبارة عن مجموعة من ال مكونات المعرفة على نحو جيد. 

سوف تناقش الفقرات التالية تلك العناصر الخاصة بإدارة تهيئة تقنية المعلومات ونظام 

إدارة التهيئة 0215 بمزيد من التفصيل. فللوصول إلى إدارة فعالة لتهيئة تقنية المعلومات. 

فإنه يتعين على المؤسسة وإدارة تقنية المعلومات التابعة لها )١(‏ امتلاك عمليات معمول 

بها لتحديد جميع المكونات الخاصة بالأجهزة والبرمجيات والبنية التحتيةء والتي تعد جزءاً 
من موارد تقنية المعلومات لديها. (؟) امتلاك ضوابط معمول بها لمتابعة كل التغيرات 
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والتنقيحات التي تتم على هذه المكونات الخاصة بتهيئة تقنية المعلومات. )١(‏ الإبقاء على 
نظام تبليغ خاص بإدارة التهيئة بحيث يكون كل من إدارة تقنية المعلومات والإدارة العامة 
والموارد المالية على دراية بالوضع الراهن لموارد تقنية المعلومات الخاصة بالمؤسسة. )٤(‏ 
متابعة وإدارة حالة تلك الموارد الخاصة بتقنية المعلومات للتأكد من أنها قائمة. وفعالة من 


إن الإدارة الفعالة لتهيئة تقنية المعلومات هي أكثر بكثير من مجرد التحكم بإصدارات 
البرامج الخاصة بتقنية المعلومات من خلال قاعدة بيانات واحدة وشاملة لإدارة التهيئة 

28 بل قد تشمل أيضاً موارد أخرى ذات صلة موجودة في أحد المرافق كإدارة تقنية 

ا معلومات الموجودة في المقر الرئيسي للمؤسسة. كما يجب أن تشمل عمليات إدارة تهيئة 

فة اللعلوهات كامل المؤسسة فك ذلك أي مرفق قد تكون هناك حاجة للاتصال به 

أو مشاركة البيانات والمعلومات معه. 

لقد تحدثنا عن الممارسات الخاصة بإدارة تهيئة تقنية المعلومات التي تعد جزءاً من 
الإطار آيتل والذي سبق الحديث عنه في الفصل السادس من هذا الكتاب. ولأن أفضل 
الممارسات الخاصة بالإطار آيتل تغطي مجموعة كبيرة من ال مجالات» يجب إعطاء المزيد من 
الاهتمام بإرشاداتها ا متعلقة بإدارة تهيئة تقنية المعلومات. تقدم الأجزاء القادمة من هذا 

الفصل المزيد من الإرشادات فيما يتعلق ببناء العمليات الخاصة بتهيئة تقنية المعلومات. 

يصف الشكل التوضيحي )١1-١6(‏ هذا المفهوم الخاص بإدارة التهيئة 0215 كما يصف 

الحاجة إلى ضوابط خاصة بتهيئة تقنية المعلومات. يعرض الرسم البياني مستخدمي نظم 
الأعمال المؤسسية في الإطار الدائري الخارجي له» حيث إن جميعهم بحاجة إلى إيجاد 
علاقات وروابط فيما بينهم من خلال موارد النظم الخاصة بهم. ويهتم هؤلاء المستخدمون 

للنظم بالقضايا الآتية والمتعلقة بتهيئة تقنية المعلومات: 

٠‏ ضوابط أصول تقنية المعلومات: قد تَعْمّد المجموعات المختلفة للمستخدمين وإدارات 
تقنية المعلومات إلى شراء وتثبيت إصدارات مختلفة بعض الشيء من البرمجيات والأدوات. 
وفي بعض الأحيان تكون الاختلافات بشكل عام قليلة: فمثلاً قد يكون لدى إحدى 
الوحدات خارج البلاد إصدار مختلف بعض الشيء بسبب اختلافات اللغة. على كل حال» 
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قد تختلف الطريقة التي تفسر فيها البرمجية الأوامر وتتفاعل من خلالها مع إصدارات 
اللغات الأخرى. وقد تثير الكيفية التي تقوم من خلالها المئؤسسة ووحدات العمليات 
التشغيلية التابعة لها بشراء وتثبيت البرمجيات والأصول الأخرى لتقنية المعلومات بعض 
القضايا المتعلقة بعملية التهيئة. 

٠‏ إدارة الحوادث: إن الهدف الأول لعملية إدارة الحوادث هو استعادة عملية التشغيل 
الطبيعية للخدمة بأقصى سرعة ممكنة وتقليل التأثير على العمليات التشغيلية للأعمال. 
هذا من شأنه أن يضمن الإبقاء على أفضل المستويات الممكنة فيما يتعلق بجودة الخدمة 
وإتاحتها. من ناحية أخرىء قد تغفل النشاطات التصحيحية للحوادث الطارئة عن روابط 
أو اتصالات في التهيئة» مسببة بذلك مشاكل عامة على المدى التشغيلي البعيد. 

٠‏ إدارة مشاكل تقنية المعلومات: يُعَرْف ار آيتل المشكلة على أنها حالة يتم تحديدها 
غالبا نتيجة لحوادث متعددة تُظهر أعراضاً مذ مشتركة. فعندما يتعرض أكثر من نظام 
أو مجموعة مستخدمين للمشكلة التقنية نفسهاء فإن هناك حاجة للوصول إلى المصدر 
الرئيسي المسبب للمشكلة وتحديد الحل المناسب لها. فقد يصبح هذا أحد المشاكل 
الكبيرة في التهيئة في البيئات الكبيرة والمعقدة لتقنية المعلومات. 

٠‏ القضايا الشاملة لحوكمة تقنية المعلومات: لقد تم تغطية مجموعة واسعة من قضايا 
حوكمة تقنية المعلومات خلال فصول هذا الكتاب» والتي تشمل السياسات الأمنية في 
تقنية المعلومات وقضايا إدارة المشاريع والمقاييس المعيارية وغيرها. لذا يجب أن يتم 
تنفيذ وإدارة كل هذه الأمور بشكل متناغم عبر المؤسسة لضمان إدارة متسقة وفعالة 

٠‏ إدارة سعة تقنية المعلومات: تحتاج المؤسسة إلى تثبيت وتنفيذ المستويات والأحمال 
الصحيحة لوارد تقنية المعلومات. لذا فإن معالجة اتات وأحجام الخدمات بحاجة 
إلى متابعة وضبط عبر جميع موارد تقنية المعلومات في المؤسسة. 

٠‏ اتفاقيات مستوى الخدمة 51.45: التي تم تقدهها مع قضايا حوكمة تقنية المعلومات 
التي تمت مناقشتها في الفصل E‏ عشر من هذا الكتاب. هي عبارة عن اتفاقيات 
غير رسمية تعقدها إدارة تقنية ا معلومات مع كل من مجتمعات المستخدمين التابعين 
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لها وا موردين الخارجيين. أبسط صور هذه الاتفاقيات» أن تقوم إدارة تقنية المعلومات 
بوضع اتفاقية لمستوى الخدمة مع قسم المراقبة المالية بحيث يتعهد المحاسبون بتسليم 
جميع معاملات إغلاق نهاية الشهر الخاصة بدفتر الأستاذ العام وفقا لجدول زمني متفق 
عليه على أن تتعهد إدارة تقنية المعلومات باستكمال وتسليم تقارير الإغلاق الشهرية في 
تاريخ محدد. من ناحية أخرى عندما تحتاج جميع الإدارات المختلفة إلى اللستخدمين 
ومرافق تقنية المعلومات لاتفاقيات مستوى خدمة خاصة بهاء قد تكون هناك مشاكل في 
نظام إدارة التهيئة 01/15. 
الفكرة هنا هو أننا يجب أن ننظر إلى إدارة تهيئة تقنية ا معلومات على أنها مجموعة 
من المفاهيم التي تكون منفصلة غالبا لكنها مترابطة (افظر الكل التوضيحي .)1-١6‏ 
هدا ن الكو واا اة حضوم هذه الأيام؛ إذ إننا قد ابتعدنا كثيراً عن الحاسبات 
المركزية التي كانت موجودة في الماضي وَقَمِنا ستبيت أشكال وأنواع عديدة من موارد تقنية 
المعلومات في المؤسسة التقليدية ذات الوحدات والمواقع المتعددة. وبينما يجب على الإدارة 
التقليدية لتقنية المعلومات أن 5 معايير على ما تمتلكه (نظم وعمليات تقنية المعلومات) 
وكذلك على نظم وعمليات تقنية المعلومات الخاصة بام مقر الرئيسيء فإننا نجد أن ضوابط 
التهيئة قد تضيع في عام النظم اللاسلكية المتصلة بالنظم السحابية. 


أفضل ممارسات إطار آيتل الخاصة بإدارة تهيئة تقنية المعلومات: 

قدم الفصل السادس من هذا الكتاب اللمواد الخاصة بمكتبة البنية التحتية لتقنية 
المعلومات 1111 فيما يتعلق بالحوكمة» وقد تم هناك عرض أفضل الممارسات بالشكل 
التوضيحي )١-1(‏ موضحاً أهمية إدارة التهيئة على أنها إحدى أدوات حوكمة تقنية 
المعلومات. الفكرة هي أن كل مؤسسة تمتلك أو تحتفظ بعناصر متنوعة من المعلومات 
عق اليه الفحفية الخاضة فة الخلومات لذ نها فخلا عن أن اة تواجة تخديا 
بالنسبة لعملية الحفاظ على النسخة الأخيرة المحدثة لجميع هذه المعلومات. وقد حددت 
إدارة التهيئة في الإطار آيتل أفضل الممارسات للاحتفاظ بتفاصيل المعلومات الموثوقة 
والحديثة المتعلقة بالبنية التحتية لتقنية اللعلومات. 
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شكل توضيحي (1-16) 


مفاهيم نظام إدارة تهيئة تقنية المعلومات 





لكك اد 


مع أن هذا المصطلح لا يعد من المصطلحات الشائعة الاستخدام بالنسبة للعمليات 
التشغيلية الخاصة بتقنية المعلومات هذه الأيام» فإن إطار العمل آيتل يدعو المؤسسة 
والعمليات التشغيلية الخاصة بها إلى تعريف هيكل التهيئة الخاص بها إلى ما يطلق عليه 
الإطار آيتل عناصر التهيئة (015) وصه۲! و2 تناع قاده2. كما يدعو الإطار آيتل أيضاً إلى 
أن نفهم كيف ترتبط عناصر التهيئة 015 هذه بعضها مع بعض. كما يجب على العملية 
الفعالة لإدارة التهيئة في آيتل أن تؤكد أن التغيرات التي حدثت على بنية تقنية المعلومات 
قد تم تسجيلها بشكل صحيح ما فيها العلاقات بين عناصر التهيئة 0[15. كما يجب على 
عملية إدارة التهيئة مراقبة حالة مكونات تقنية المعلومات لضمان أنها تملك الوصف الدقيق 
للإصدار الحالي لتلك العناصر 615. 

وفي خطوة أولى لبناء عمليات التهيئة الفعالة لتقنية ا معلومات» فإن المؤسسة تحتاج إلى 
القيام بجرد موارد تقنية المعلومات الموجودة لديها. فهذه العملية تحتاج إلى ما هو أكثر من 
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إدارة تهيئة ومحفظة تقنية المعلومات 


مجرد مسح لقوائم المكونات البرمجية المثبتة وعمل الجرد المادي ممعدات تقنية المعلومات 
الموجودة على الأرض. يحتوي الشكل التوضيحي )7-١6(‏ على قائمة بأنواع الموارد التي يجب 
أن تصبح من عناصر التهيئة 015 لتحديد بيئة التهيئةء وبمثابة اللبنات الأولى في قاعدة بيانات 
إدارة التهيئة 08128 كما سيتم مناقشته في الأجزاء اللاحقة. وعند تنفيذ الجرد بصورة 
فعالة: فإنه يجب أن يرود هذا الجرد كلا من الإدارة وإدارة تقنية ا معلومات با معلومات 
والمجالات لمزيد من التحقيق في المجالات التالية والخاصة بسياسة منتجات تقنية المعلومات: 
ه ما مكونات تقنية المعلومات الممستخدمة حالياً؟ وكم عدد الإصدارات المختلفة المعمول 
بها لكل مكون؟ وما المدة التي استخدمت فيها هذه المكونات؟ 
٠‏ ما المكونات التي يمكن أن يتم سحبها تدريجياً؟ وما المكونات التي تحتاج إلى تعديل؟ 
٠‏ ما التراخيص المفعلة؟ وهل هي كافية؟ 
« ما مدى معيارية البنية التحتية الشاملة لتقنية المعلومات عبر المؤسسة؟ 
شكل توضيحي (6١-؟)‏ 
أمثلة على عناصر التهيئة الموجودة في قاعدة بيانات إدارة التهيئة °M D8‏ 


٠‏ جميع منصات الحوسبة المادية وتشمل أجهزة الحاسب المكتبي والحاسب المحمول والخوادم المثبتة 
على حامل «e4‏ ouص-rack‏ والخوادم النحيفة 5617615 81206 وأجهزة أخرى قائمة بذاتها. 


« جميع أجهزة ومعدات الشبكة متضمنة الطابعات المتصلة بالشبكة. 


Middleware جميع التطبيقات والبرامج الخدمية 1011114165 الخاصة بالبرمجيات الوسيطة‎ ٠ 
والبرمجيات 5017856 متضمنة المنتجات الخاصة بالمستخدم النهائ» والإدارة والدعم.‎ 

©# جميع نظم التشغيل المثبتة وكذلك أدوات حزم تطوير البرمجيات مثل جافا 14774 وسي شارب‎ ٠ 
521:0 وأدوات البرمجيات الإدارية الخاصة بدورة حياة تطوير النظم‎ 

٠‏ تنصيبات الرقع ۲٠۲١1‏ الخاصة بأنظمة التشغيل وأجهزة الشبكة. 

٠‏ شبكة الهواتف المحلية (×۶8) Pate Branch Exchange‏ ومعدات وبرمجيات الاتصالات المتعلقة بها. 

ه خدمات الأعمال المثبتة أو عناصر هذه الخدمات. 





٠‏ حزم الوثائق الخاصة بالتطبيقات والنظم والمعايير الخاصة بالسياسات والعمليات. 
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الفصل الرابع عشر 


الفكرة هنا هي أن المفاهيم الخاصة بإدارة تهيئة تقنية ا معلومات ونظام إدارة التهيئة 215 © 
لا يجب أن تكون مجرد قضايا تابعة لإدارة تقنية المعلومات في المؤسسة. بل يجب تشكيل 
فريق مكون من المختصين في التقنية يشمل إدارة تقنية المعلومات وغيرهم من المستخدمين 
الرئيسيين مموارد تقنية المعلومات من أجل بناء وتشييد نظام لإدارة التهيئة 02/15 في اممؤسسة. 
لذا يجب إعطء المزيد من الاهتمام من أجل ضم أعضاء لفريق مشروع نظام إدارة التهيئة 
5 من أشخاص في المؤسسة لا علاقة لهم بتقنية المعلومات والذين يستخدمون الموارد 
الأخرى عادة للنظم ولديهم اتصالات محدودة مع نظم المؤسسة الأكثر مركزية. كما يجب 
أن يحتوي النظام الفعال لإدارة التهيئة على كل مجموعات المعلومات المشار إليها في الشكل. 


جمع وتحليل متطلبات إدارة التهيئة: 

بينما يدرك العديد من المديرين والعاملين في تقنية المعلومات أهمية امتلاك عمليات 
خاصة بتهيئة فعالة لتقنية المعلومات ومعمول بها في المؤسسة؛ قد تمثل عملية جمع وتحديد 
امتطلبات الضرورية للبدء بإدارة التهيئة على مستوى المؤسسة بشكل دقيق ومحدد, أحد 
التحديات الموجودة. حيث يجب أن تبدأ هذه الممارسة من خلال النظر إلى أدوات التهيئة 
المعمول بهاء وإجراء التعديلات اللازمة عليها حسب الحاجة: ومن ثم بناء علاقات رفيعة 
المستوى لإدارة التهيئة بحيث تحمل توقعات أكثر واقعية والانتقال إلى متطلبات قابلة 
للقياس لعملية تهيئة تقنية المعلومات. 





إن هذه العملية الخاصة ببناء وإطلاق مكونات إدارة تهيئة تقنية المعلومات وتحديد 
متطلباتها الضرورية يجب أن تبدأ عادة بالتخطيط ومنح التصاريح وإطلاق مشروع رسمي 
لتطوير نظم تقنية المعلومات. وذلك وفقاً مبادئ حوكمة إدارة المشاريع التي سنتحدث 
عنها في الفصل السادس عشر من هذا الكتاب» فا ممارسات القوية لإدارة المشاريع تعد من 
الأدوات المهمة لإطلاق عملية فعالة لإدارة التهيئة. ويجب أن يتضمن مشروع إدارة تهيئة 
تقنية المعلومات العناصر الأربعة التالية: 
-١‏ تحديد عناصر تهيئة تقنية المعلومات: تتطلب هذه الخطوة وضع تعريف شامل لنطاق 
التهيئة وبيان قائمة بعناصر التهيئة كالموضح بالشكل التوضيحي :))75-١15(‏ وكذلك وضع 
تعريف شامل لعملية تعقب التغيرات» وذلك لإدارة عناصر التهيئة في بيئة تقنية المعلومات. 
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إدارة تهيئة ومحفظة تقنية المعلومات 


؟- بناء العلاقات الخاصة بتهيئة تقنية المعلومات: يجب ربط عناصر التهيئة 015 المختلفة 
تلك مع تقنية المعلومات وعمليات الأعمال. 


۴- تحسين عمليات تهيئة تقنية المعلومات: رها يجد فريق المشروع أن هناك العديد من 
عناصر التهيثة 015 مكررة بشكل أساسي بعضها من بعض. ولكن كل عنصر منها موجود 
في نظام أو قاعدة بيانات مختلفة. لذا يجب بذل المزيد من الجهد لتبسيط وتنفيذ 
هذه العمليات. على سبيل ال مثالء يجب أن يتم حفظ أرقام دفتر الأستاذ العام للنظام 
المحاسبي في مكان واحد فقط. فالاحتفاظ بقائمة في أماكن متعددة من شأنه أن يقود 
فقط إلى أخطاء أو مشاكل أخرى ستأقٍ لاحقاً. 

-٤‏ إيجاد عمليات توثيق متسقة لإدارة تهيئة تقنية المعلومات: ويعد هذا الأمر أحد 
ا معايير الهامة في الحوكمة والتي كانت جزءاً من نقاشنا الدائر حول حوكمة تقنية 
المخلومات ق العديد من الفقصول: 
إن هذه العملية الشاملة لإدارة التهيئة تشبه إلى حد ما أي عملية يجب توظيفها عند 

الحاجة لتنظيم مجموعة كبيرة من عناصر المعلومات المختلفة والمترابطة في الوقت نفسهء 

مع الحاجة إلى أن نكون قادرين على أن نشير إلى تلك العناصر بانتظام وأن نطبق التغيرات 
عليها حسب الطلب. ففي حين أن السجلات الشخصية» مثل السجلات الخاصة بإيصالات 
الضريبة على دخول الأفراد أو سجلات المنتجات وقطع الغيار الخاصة بتجار التجزئة يتم 
تنظيمها عادة ولو على الأقل بصورة غير رسمية شكل من أشكال التهيئةء نجد أن العديد من 
إدارات تقنية المعلومات تفتقر إلى وجود هذه الأنواع من التطبيقات. فهم يقومون بتثبيت 
نظم وبرمجيات جديدة, ويعتمدون غالباً على الباعة لتزويدهم بمستوى بسيط من التحكم 

بالتعديل أو التغيير ولكنهم لا يملكون عمليات معمول بها لإدارة تهيئة تقنية المعلومات. 
يتعين على إدارة تقنية المعلومات في االمؤسسة اتخاذ الخطوات اللازمة لتطبيق إدارة 

التهيئة على أنها مكون أساسي لجميع العمليات التشغيلية لتقنية المعلومات. فمثل هذا 

العمل قد يجبر تقنية المعلومات على التراجع عن بعض المشاريع العادية الأخرى؛ غير أن 
العملية الفعالة ستعود بالفوائد على كل من تقنية المعلومات ومستخدمي خدمات تقنية 

ا معلومات. 
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خطوات تطبيق إدارة تهيئة تقنية المعلومات: 

ينبغي على إدارة تقنية المعلومات أن تقوم بوضع معايير بشأن إصدارات البرمجيات 
والمعدات الخاصة بها. فالتحكم بالإصدار يكون كممارسة تهدف إلى نشر إصدارات 
برمجيات متوافقة على الأجهزة المتشابهة داخل الشبكة. حيث سيسهم ذلك في تحسين 
فرصة التحقق من صلاحية إصدارات البرمجيات المختارة واختبارها وسيحد بشكل كبير 
من حجم العيوب في البرمجيات ومشكلات التوافق الموجودة على الشبكة. إن الإصدارات 
المحدودة للبرمجيات من شأنها أيضاً أن تقلل من مخاطر السلوك غير المتوقع. وذلك من 
خلال واجهات اممستخدم» والأوامر أو مخرجات الإدارة. وأسلوب الترقية وسلوك الخصائص. 
هذا يجعل من البيئة أقل تعقيداً ويجعل عملية تقديم الدعم لها أكثر سهولة. بشكل 
عام» فإن ضبط إصدار البرمجيات يحسن من إتاحة الشبكات ويقلل من تكاليف الدعم 
التفاعلي. 

إن الحديث عن التحكم بإصدارات مكونات تقنية المعلومات أسهل من القيام به 
فعلاً. لذا يتعين على العمليات التشغيلية لتقنية المعلومات في المؤسسة وفرق البرمجيات 
المسؤولة عنها أن تقوم بتعريف وتحديد تصنيفات للأجهزة اعت ماداً على أنواعها ومدى 
ثباتها ومتطلبات إصدار مزايا جديدة. في المؤسسات الكبيرة المتعددة الإدارات» لا بد من 
تثبيت إصدارات برمجيات منفصلة على الأجهزة المتشابهة. هنا في الغالب يمكن التغاضي 
عن المعايير. فقد يكون القسم الغربي ممؤسسة ما على سبيل المثال قد نسي أن يثبت بعض 
التعديلات الطفيفة على النظم في حين قام القسم الشرقي من المؤسسة بتثبيتها. فعلى 
الرغم من أن النتائج قد تبدو متشابهةء فإن المسائل يمكن أن تُنسى إلى أن تتسبب إحدى 
قضايا النظم بمشاكل مستقبلا. 

ولإيجاد ضوابط فعالة لإدارة تهيئة تقنية المعلوماتء فإنه ينبغي على أخصائيي 
البرمجيات أن يقوموا باختبار إصدارات البرمجيات والتحقق من صلاحياتها وتجربتها. 
وتتضمن الخطوات التالية عملية توثيق الإصدارات الناجحة كمعايير موحدة لتصنيفات 
الأجهزة المتشابهة. الفكرة هنا هي نشر وترقية جميع الأجهزة المتشابهة بشكل متناغم 
باستخدام إصدار معياري موحد من البرمجيات. 
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يعد نظام إدارة تهيئة تقنية ا معلومات أحد العناصر الأساسية في الحوكمة الفعالة لتقنية 
المعلومات. ففي الواقع لن نتمكن من إدارة جميع موارد تقنية المعلومات الخاصة بنا 
والتحكم فيها حتى ندرك كيف تتأقلم وتتناسب هذه الموارد معاً. إن العنصر الرئيسي في 
كل هذا هو الحاجة إلى إيجاد معايير وإجراءات في جميع أنحاء المؤسسة كأن يكون لدى 
إدارة تقية المعلومات في المؤسسة فهم وإدراك جيد لجميع موارد تقنية المعلومات المثبتة 
فيها وأنه يجب أن تكون هذه الموارد مرتبطة فيما بينها وأن يتم استخدامها بشكل متناغم 
ومتوافق عبر المؤسسة. إن التطبيق الفعال لكل من إطار العمل آيتل الذي تمت مناقشته 
في الفصل السادس من هذا الكتاب» وبيان الخدمات الذي تم الحديث عنه في الفصل الثاني 
عشر من هذا الكتاب» سوف يسهم في تحقيق الوصول إلى هذه البيئة. من ناحية أخرى» 
فإن أحد العناصر الهامة في عملية التطبيق الفعال لإدارة البنية هو تطبيق قاعدة بيانات 
إدارة التهيئة 02/1108 التي تعد بمثابة المكون والمستودع المركزي لعمليات إدارة تهيئة 
تقنية ا لمعلومات. 


قاعدة بيانات إدارة التهيئة (021518©): يكون غالباً مفهوماً صعباً: 

قاعدة بيانات إدارة التهيئة هي عبارة عن قاعدة بيانات مفردة تحتوي على كل 
المعلومات المتعلقة بمكونات نظام المعلومات المستخدم في خدمات تقنية المعلومات 
الخاصة بالمؤسسة. بالإضافة إلى العلاقات الموجودة بين هذه المكونات. تقدم قاعدة 
اتات إذازة التويفحة 6158© رضنا منظكما للبيانات: كا وز اول لقع .هذه 
البيانات من أي منظور نريده. ومن خلال هذا السياق فإن مكونات نظام المعلومات هذا 
والخاص بقاعدة بيانات إدارة التهيئة تحتوي على ایر تة مترايظة وذات رة 
كما هو موضح في الشكل التوضيحي .)۲-٠١(‏ إن عنصر التهيثة 01 قد يكون أي مكون 
کا ر من مكونات ف ارات مضا ذلك ارجات واللحدات:والوفائق 
والموظفين امسؤولينء بالإضافة إلى أي مجموعة مؤلفة منهم. تسعى عمليات إدارة التهيئة 
إلى تحديد وضبط وتتبع عناصر التهيئة والتغيرات التي تحدث عليها بطريقة شاملة 
وة 
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يقدم العديد من كبار باعة البرمجيات منتجات برمجية مختلفة لقاعدة بيانات إدارة 

المحتوى 02/1218. يقدم الشكل التوضيحي (16-) عرضاً تصويرياً ما يجب أن تظهر عليه 

قاعدة البيانات تلك أو مكوناتها الرئيسية. ليس الهدف من هذا الفصل هو تقديم وصف 
تقني حول كيفية اختيار وبناء قاعدة بيانات إدارة التهيئة 02/1108)» ولكن الهدف هو 
وصف المكونات الرئيسية لها. وبناءً على الشكل التوضيحي )١-٠١(‏ فإن قاعدة بيانات إدارة 

التهيئة يجب أن تحتوي على العناصر والمكونات التالية: 

٠‏ إدارة مستخدمي قاعدة بيانات إدارة التهيئة 0211(8: باعتبارها أحد النشاطات 
المؤسسية الرئيسية للتحكم بقاعدة البيانات» فإن هناك حاجة إلى وجود واجهة 
للمستخدم والمهام الإدارية. حيث سيكون هذا مزيجاً من الموارد التقنية الخاصة بتقنية 
المعلومات للمساعدة من خلال الإدارة والمتابعة الشاملة لقاعدة البيانات. هذا بالإضافة 
إلى توفير عمليات إدارية لتعريف وإدخال عناصر تهيئة 0015 جديدة كلما زاد نمو وتغير 
النظم والعمليات. فبالإضافة إلى بناء عناصر التهيئة» فإن هناك حاجة إلى وجود أدوات 
للاستعلام عن حالات تلك العناصر وتحسين أدائها. 

٠‏ أمن قاعدة بيانات إدارة التهيئة وأدوات وصول المستخدمين 0211(18: بينما يكون 
هناك حاجة دائمة لأمن تقنية المعلومات وأدوات لضبط عمليات الوصول إليهاء فإن 
المسألة أصبحت أكثر أهمية فيما يخص قاعدة البيانات الشاملة والضخمة لإدارة التهيئة 
8 . تلك المنطقة التي يمكن لشخص ما فيها أن يحصل على صلاحيات وصول 
لجميع مصادر بيانات المؤسسة. لذا فوجود ضوابط أمنية قوية يعد من الأمور الأساسية 
في هذا المجال. 

٠‏ الأدوات الخاصة بإدارة تهيئة قاعدة البيانات: تعد هذه إحدى الأدوات الخاصة بمجال 
قواعد البيانات التي يجب أن تكون متاحة لتصميم هياكل البيانات الخاصة بعناصر 
التهيئة. وذلك لتعزيز فاعلية قاعدة بيانات إدارة التهيئة 021108. أما الأمر الأكثر أهمية. 
فهو أن هذا هو المجال الذي يجب أن تكون فيه أدوات الضبط القوية الخاصة بالمراجعة 
موضوعة في موضع التنفيذ. 
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٠‏ إدارة البيانات ومستودع قاعدة البيانات: يصف هذا العنصر قاعدة البيانات الفعلية 
كما يصف برمجيات التشغيل لها وكذلك الضوابط المادية والبيئية الخاصة بها. لذا هناك 
حاجة لأخصائيين يتمتعون بمهارات عالية في مجال برمجيات قواعد البيانات لإدارة وضبط 
البرمجيات. وبالطبع لا بد من وجود عمليات صحيحة معمول بها فيما يخص النسخ 
الاحتياطي واستمرارية الأعمال. 

٠‏ ضوابط أمن وحماية البيانات: كما أن هناك احتياجات لضوابط أمن ووصول قوية 
معمول بها على روابط واجهة المستخدم: فإن هذه العمليات الأمنية تكون أكثر أهمية 
لأنها تعمل مستودعات من قاعدة بيانات إدارة التهيئنة (021108) وغيرها من نظم 
الاستخدام الأخرى. 

٠‏ مستودعات تكامل البيانات: يجب أن يوفر التشغيل الكامل لقاعدة بيانات إدارة 
التهيئة 021108 وصلات إلى مجموعة عريضة من النظم والعمليات. ويعد هذا بمثابة 
رابط للنتائج الهامة بين قاعدة بيانات إدارة التهيئة 021108 والكيان الكبير للتطبيقات 
الأخرى. 

٠‏ الأدوات الخارجية للاكتشاف واللتابعة: بالذهاب إلى ما هو أبعد من قاعدة البيانات 
الفعلية لإدارة التهيئة 0211078 الخاصة بالمؤسسة: فإنه يجب أن يكون هناك مجموعة 
واسعة من الآخرين من الذين لديهم حاجة للوصول إلى بيانات 02/1108 ومراقبتها. 
فعلى سبيل المثال. قد يحتاج مدققو تقنية المعلومات إلى مراجعة هياكل بيانات محددة 
وعمليات أخرى ليست من ضمن عمليات المستخدمين الاعتياديةء ولا حتى من عمليات 
مسئولي الرقابة. 

٠‏ مستودعات بيانات أخرى: يبين الشكل التوضيحي )”-١5(‏ أن قاعدة بيانات إدارة التهيثة 
108 هي بالعادة ليست المستودع المركزي الوحيد لبيانات التهيئة. بل سيكون 
هناك أدوات أخرى لقاعدة بيانات التهيئة كذلك. فبالنسبة لمستودع البيانات هذا أو أي 
مستودع آخر لقاعدة بيانات إدارة التهيئة 011108 فإنه يجب أن يكون هناك ربط قائم 
ومعمول به مع تلك الواجهات الأخرى. 
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تصف القائمة السابقة خصائص قاعدة بيانات إدارة التهيئة 02/11(7. فبالنسبة 
للمؤسسات الكبيرة والمعقدة. سيكون من الصعب إطلاق وتنفيذ مثل هذه الإدارة والعملية 
الخاصة بتقنية المعلومات بشكل فعالء غير أنه يجب أن تكون هناك فوائد ومنافع مستمرة 
من قدرات وكفاءات النظم. إن تطبيق قاعدة بيانات فعالة لإدارة التهيئة 01/108 يعد 
أحد الأدوات الهامة في كفاءة وحوكمة تقنية المعلومات بالنسبة لأي مؤسسة تمتلك مجموعة 
كبيرة ومعقدة نسبياً من نظم وعمليات تقنية المعلومات. 


إنشاء قاعدة بيانات إدارة التهيئة 01/1101 في المؤسسة: 

يعلن العديد من باعة البرمجيات عن منتجات خاصة بقاعدة بيانات إدارة التهيئة 
8 على أنها جزء من العروض الخاصة بهم. وبالرغم من أن معظم هذه المنتجات 
يجب أن تتفق ومعايير إطار العمل آيتل, إلا أنه لا يوجد تعريف موحد ومتناغم بين تلك 
ا منتجات. وبينما هكن لتطبيق قاعدة بيانات إدارة التهيئنة 08158 أن يكون المشروع 
الرئيسي بالنسبة للمؤسسة فإن إدارات تقنية المعلومات الأصغر والأقل نضجاً لا ترغب في 
الاستثمار في برامج قاعدة بيانات إدارة التهيئة 0211(8 المكلفة والمعقدة. حيث يمكنهم 
تنفيذ مجموعة محددة من عمليات إدارة التهيئة بواسطة استخدام أدوات برمجية مكتبية 
بسيطة مثل الإكسيل 8:<61. وتعد قاعدة بيانات إدارة التهيئة 081108 بمثابة نظام لإدارة 
المعرفة أكثر من كونها منتجاً من المنتجات البرمجية» كما أنها تعتبر فهرسا أكثر من كونها 
قاعدة بيانات معقدة. هذا يعني كلما كانت كمية البيانات الخاصة بعناصر التهيئة صغيرة 
استطاعت المؤسسة الاستفادة من مزايا قاعدة بيانات إدارة التهيئة 01/157 من خلال عدة 
طرق - کالورق» أو مخططات 171510 أو قواعد بيانات 17:55 ©40: أو العقول البشريةء وما 
شابه. وهذا بالضبط ما تم تثبيته في العديد من امؤسسات. 


0 دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


إدارة تهيتة ومحفظة تقنية المعلومات 


شكل توضيحي (8-16) 


عرض تصوري لقاعدة بيانات إدارة التهيئة 02/1113 


واجهات المستخدم الخاصة بقاعدة بيانات إدارة التهيئة 1/08 
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التزامن التوافق والملائمة 


الأمن وحماية البيانات 


تكامل مستودعات البيانات 
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من ناحية أخرىء فإنه عندما تتسع إدارة تقنية المعلومات في المؤسسة جغرافياً بشكل 
كبيرء ويكون لديها مئات أو آلاف اللمستخدمين والمواقع: فإن هذا العدد المهول لتلك 
الاختلافات في التهيئة يتطلب حلا من نوع خاص لقاعدة بيانات إدارة التهيئة 61/157. 
إن تقنية المعلومات أو الفريق الإداري الذي يبحث عن الحل المناسب أو من يقوم بتثبيته 
يجب أن يقوم بوضع معايبر ومتطلبات خاصة بأداء نظام قاعدة بيانات إدارة التهيئة 
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08 لديهم. لذا فان نظام قاعدة بيانات إدارة التهيئة 021108 في المؤسسة يتطلب 
بعض المزايا الفريدة. وهي أولاً إن الحل الحقيقي لقاعدة بيانات إدارة التهيئة 2113© 
يعتمد على مفهوم قديم في قاعدة البيانات يدعى نمذجة الأبعاد والذي فيه خروج بسيط 
عن النمط. وفيه يجب أن يكون الحل الخاص بقاعدة بيانات إدارة التهيئة في المؤسسة 
ةا غان نموذج قاعدة بيانات الأبعاد دل من قاعدة البيانات العلاقية الشائعة في 
الوقت الراهن. فقواعد البيانات العلاقية الموجودة هذه الأيام مثل أوراكل Oracle‏ ودي 
بي تو 1082 الخاصة بشركة 181/1 لا تستطيع القيام بالمهمة المنوطة بقاعدة بيانات إدارة 
التهيئة 01/1108. 

وتعود هذه المفاهيم الخاصة بنماذج قواعد البيانات العلاقية المقابلة لنماذج قواعد 
بيانات الأبعاد إلى سبعينيات القرن الماضي مع العديد من القضايا المنسية من قبل معظمنا 
ممن عاصروها. في هذا القسم» سنقوم بشرح ما يحتاج إليه الحل البرمجي لقاعدة بيانات 
إدارة التهيئة 28 CM‏ على مستوى المؤسسة ومن هذه الاحتياجات: قاعدة بيانات الأبعاد 
واتحاد وتوافق وتزامن ونمذجة البيانات. وهنا لسنا بصدد تقديم مقالة تتحدث عن نمذجة 
قواعد البيانات» بل نهدف إلى إيجاز بعض المفاهيم الضرورية والرئيسية بالنسبة لقاعدة 
البيانات الفعالة لإدارة التهيئة 01/1108. 


معمارية قاعدة البيانات العلاقية مقابل معمارية قاعدة بيانات الأبعاد: 
تستخدم قاعدة البيانات العلاقية أسلوب "الصف والعمود" الذي يشبه طريقة حفظ 
البيانات في الجداول الإلكترونية الخاصة ببرنامج الإكسيل 8:61 أو في نظام معالجة المعاملات 
عبر الإنترنت. وسيكون من السهل هنا البحث عن البيانات المخزنة في قاعدة البيانات 
العلاقية في حال كنت تعرف مقدماً ما الذي تريد رؤيته. من ناحية أخرىء فإن قاعدة بيانات 
إدارة التهيشة 08188 لا تقوم بتخزين معظم بياناتهاء فهي تشير إلى بيانات محفوظة في 
قواعد بيانات أخرى قد تكون علاقية. وتستخدم قاعدة بيانات إدارة التهيئة 081578 أيضاً 
لتقديم ما يطلق عليه التوعية السياقية على فئات من البيانات غير المترابطة بشكل واضح. 
على سبيل المثالء قد يكون الاستعلام الشائع في قاعدة بيانات إدارة التهيئة 01/113 هو 
"ما عدد الممستخدمين في قسم المبيعات الذين استخدموا نظام 547 خلال الأسبوع الأخير 
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من الشهر؟". هذا النوع من الاستعلامات لا يتناسب بالمرة مع قاعدة بيانات علاقية مركزية 
من خلال معاملات استعلام سبق بناؤها. حيث يوجد العديد فقط من التوليفات الممكنة 
بين البيانات. فهذا النوع من الاستعلامات يتعين عليه سحب البيانات من عدة نظم. ومن 
المحتمل ألا تكون البيانات التي يحتاج إليها هذا الاستعلام مصفوفة بشكل جيد في صفوف 
وأعمدة جاهزة للاستعلام. بل يجب على قاعدة بيانات إدارة التهيئة 13 1/5© الخاصة 
بالمؤسسة أن تستخدم تقنية الأبعاد التي تمثل البيانات كما لو كانت أبعاداً أو مستويات 

تشتمل أبعاد قاعدة بيانات إدارة التهيئة 021528 غالباً على الموقع (مثل المدينة 
والولاية والطابق ... إلخ) ومجموعات العمل مثل إدارة المبيعات وإدارة التسويق وما 
إلى ذلك وكذلك خدمات تقنية المعلومات مثل ساب 54۴ أو البريد الإلكتروني والنطاقات 
الزمنية وغيرها. فبدلاً من استخدام جداول البيانات الإلكترونية الخاصة ببرنامج الإكسيل 
والمكونة من صفوف وأعمدة. ينبغي على المرء التفكير بأحد أنواع تمثيل البيانات الذي 
يدعى مكعب روبيك نان 101115 ليبدأ بتكوين الفكرة. فالمنطق المطلوب هنا ليس 
جديداً فقد كان موجوداً معنا لسنوات لكن بشكل أطلقنا عليه مصطلح المعالجة التحليلية 
المباشرة المتصلة (01.42) Analytical Processing‏ ineا0n.‏ في جميع الأحوال: فإن 
التمثيل البسيط للمعالجة التحليلية المباشرة (المتصلة) 014۴ لا يعطيك قاعدة بيانات 
إدارة التهيئة 02/151 وذلك لسببين في غاية الخصوصية: أولهماء أن معظم البيانات الخاصة 
بقاعدة بيانات إدارة التهيئة 02/118 توجد خارج نظام قاعدة البيانات نفسها. ولي يتم 
سحب البيانات من مصادر متعددة فإن ذلك يتطلب اتحاداً 1606:3110 - وهو تعبيرٌ طنانٌ 
جديدٌ في قاعدة بيانات إدارة التهيئة (2/111©). وهو ما سنتحدث عنه في الأقسام التالية. 


اتحادية قاعدة البيانات :Database Federation‏ 

إن قاعدة بيانات إدارة التهيئة 021108 هي ما يطلق عليها قاعدة البيانات الوصفية 
5 هذا يعني أنها عبارة عن قاعدة بيانات تشير إلى قواعد بيانات أخرى. 
فالشرط الرئيسي لقاعدة بيانات إدارة التهيئة هو ما يطلق عليه نمذجة الأبعاد أو الاتحادية, 
وهي عبارة عن مراجع للبيانات من مصادر متعددة. وقد كانت القضية الخاصة بصحة 
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البيانات هي القضية التي أدت لأول مرة إلى اتحادية البيانات. فعندما تقوم بعمل نسخة 
من شيء ماء ما هو برأيك السند القطعي؟ الأصل أم النسخة؟ وكيف تستطيع أن تعرف 
أن النسخة هي الأصل نفسه؟ 

إن المفاهيم التي تدور حول اتحادية قاعدة بيانات إدارة التهيئة 02/1108 تتعلق بكيفية 
الاتصال بمصادر بيانات غير متجانسة والبت بشأن أي من أجزاء البيانات تكون مؤكدة ومن 
ثم إنشاء وحفظ مفاتيح لبيانات فريدة غير موجودة في أي من مصادر البيانات الخارجية 
إلا أنها لا تزال مطلوبة. على سبيل ال مثال» قد تكون البيانات غير الموجودة في أي نظام 
من هذه النظم هي اسم خدمة تقنية المعلومات ومن هم المستخدمون لها. كما يجب 
أذ كىن :متاق ايا طريقة لحفظ المعرفة (الوعي) 410762655 بأنواع البيانات الموجودة 
في كل مصدر من مصادر البيانات التي تم توحيدهاء وذلك لإجراء الاستعلامات الفورية أو 
الخفضة غ ا5 

إن الفكرة الخاصة باتحادية قاعدة بيانات إدارة التهينة 021108 تتطلب الاتصال 
بالعديد من مصادر البيانات» إلا أن امتلاك نظام قاعدة بيانات إدارة التهيئة سيسمح 
حقيقة بتوحيد تلك المصادر للبيانات. ويعد هذا أمراً في غاية الصعوبة على أرض الواقع. 
فالاتحاد هو واحد فقط من متطلبات الامتثال التقنية الأربعة لقاعدة بيانات إدارة التهيئة 
28 التي لها الدرجة نفسها من الصعوبة. لنتأمل ذلك: ماذا لو كان هناك مخزنان 
من البيانات يشيران إلى البيانات نفسها؟ أي مخزن بيانات يكون قطعي الدلالة؟ ثم الأمر 
الأكثر أهمية» كيف تستطيع أنت أن تحدد أي منهما هو المؤكد؟ وتعد هذه من القضايا 
الخاصة مطابقة وتوافقية البيانات. 


توافقية البيانات في :CMDB‏ 

بصرف النظر عن قضية الاتصال بمصادر بيانات غير متجانسة. والتي من ا محتمل 
أن تكون أيضاً تنافسيةء هكن أن تتم بكل بساطة. فالمشكلة الكبيرة التي تواجه عملية 
الاتحاد الخاصة بقاعدة بيانات إدارة التهيئة 0241(8© هي ما يسمى مطابقة البيانات 
12 122. أثناء إنشاء المعلومات السياقية لقاعدة البيانات الوصفية الخاصة 
بقاعدة بيانات إدارة التهيئة 011108 وصيانتهاء يتم تحويل أجزاء أساسية من البيانات 
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من مصادر البيانات الموحدة إلى مخازن البيانات الخاصة بقاعدة بيانات إدارة التهيئة 
.CMDB‏ ونظراً لأنه من الشائع أن يكون هناك عدة تطبيقات ونظم متداخلة تقوم 
بطلب الأصول الخاصة بتقنية المعلومات نفسها أو تحتفظ بالبيانات نفسهاء فمن ا محتمل 
أن يؤدي ذلك إلى عدم تناغم البيانات وتكرارها. وهذا هو ما يعرف مطابقة البيانات. 

توافقية البيانات 1601101112101 D4‏ تعني تعديل أو تكييف البيانات المستمدة 
من أكثر من مصدر واحد لإنهاء التكرارات والحفاظ على تناغم البيانات. إذ لا فائدة 
من الاتحادية في ظل وجود مشكلة التوافقية. فالتوافقية على أية حال ليست نهاية 
المتطلبات بالنسبة لقاعدة بيانات إدارة التهيئة 01118 الخاصة با مؤسسة: فما يضيف 
مزيداً من التعقيد لنظام قاعدة بيانات إدارة البنية 2111© هو الحاجة إلى معالجة أي 
تغيرات ناجمة من التسويات الصحيحة والناجحة للبيانات» وهذا ما يقودنا إلى ما يعرف 
بالتزامن .Synchronizati0¬‏ 


تزامن بيانات 0111([8: 

يمكن أن تتغير البيانات المخزنة في قاعدة بيانات إدارة التهينة 081578 الموحدة 
عند وقوع أحداث كتغيير اسم مدير المشروع (مثال "امستخدم") أو تغيير نوع المعدات 
المستخدمة من Cisco series 2504 software‏ مثلاً إلى 2801 ه0156. لذا يجب أن تكون 
عملية توافقية البيانات قادرة على حل هذه الاختلافات للمحافظة على سلامة بيانات 
قاعدة بيانات إدارة التهيئة 31728©. لكن هذه تقنية معلومات وليست مستودع بيانات 
ا . فلا ينبغي تغيير أي عنصر من عناصر التهيئة ٤1‏ ال موجودة في قاعدة بيانات إدارة 
التهيئة التي تت تتفق مع آيتل دون أن يكون هناك طلب للتغيير. ومن ثم فإن نظام قاعدة 
بيانات إدارة التهيئة 2118© الذي يستطيع أن يوحد ويعمل على توفيق البيانات بنجاح 
يجب عليه أيضاً أن يكون قادراً على التنبيه عندما يتم الكشف عن تغيرات غير مصرح بها 
وغير مخطط لها. فالإخفاق في مزامنة التغيرات التي تمت تسويتها سرعان ما يؤدي إلى 
الخروج عن سيطرة قاعدة بيانات إدارة التهيئة 021108.: وهو ما يمكن وصفه بالكارثة. 

هذا يعني أن نظام قاعدة بيانات إدارة التهينة 02/118 بحاجة إلى معرفة التغييرات 
التي تمت الموافقة عليها. ثم عندما يقوم محرك توافقية البيانات بكشف وتحليل لأحد 
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التغيرات في البنية التحتية أو في البيانات» فعليه أن يقوم بمقارنة هذا التغيير بقائمة التغيرات 
المعتمدة المتوقعة وأن يقوم بإصدار تنبيه في حال كان التغيير غير معتمد أن (يكون غير 
مخطط له مثلا). هذا التنبيه يلفت انتباه مديري قاعدة بيانات إدارة التهيئة 1/1(8© 
للبيانات الخاصة بقاعدة البيانات هذه. هؤلاء المديرون بحاجة إلى مساعدة بيانات 
معروضة وتصويرية ورسومية. وهو المتطلب التقني الرئيسي التالي للنمذجة. 


نمذجة :€CMD8‏ 
النمذجة عدذا21046 هي مناظرة العلاقات المركبة في قاعدة البيانات ووضع تصور 
لها. وهي عبارة عن تعريفات لخدمات تقنية المعلومات وروابط بين عناصر التهيئة 015. 
فالنمذجة هي أكثر من مجرد تقرير أو عرض قوائم للموارد على شكل أشجار وفروع. لذا 
يتعين على قاعدة بيانات إدارة التهيئة 02/1108 أن تكون قادرة على عرض بياناتها بصورة 
واضحة وبطرق تسمح للناس باستخدام تلك ا معلومات لتقييم الآثار المترتبة على إدارة التغيين 
وتحديد صلاحيات إدارة مكتب الدعم الخاص بإدارة تقنية المعلومات» واكتشاف الأعطال 
وإصلاحها من خلال العمليات الخاصة بإدارة الحوادث والمشاكلء والعشرات من الاستعلامات 

الفورية 01161165 ع10 44 من جميع العمليات التشغيلية الخاصة بتقنية ا معلومات. 

إن مطلب النمذجة هذا يذهب إلى ما هو أبعد من مجرد قوائم بسيطة "لشجرة أدلة" 
كالتي نجدها بشكل شائع في بعض منتجات قاعدة بيانات إدارة التهيئة 28 ..M‏ فلا 
قيمة لكل من اتحاد وتوافقية وتزامن البيانات في حال لم يتمكن المستخدمون من الحصول 
على إجابات نهائية ومفهومة على أسئلتهم المعقدة في أسرع وقت ممكن. ويتطلب هذا 
في أغلب الأحيان تمثيل العلاقات المعقدة بين عناصر البنية 015 بشكل بياني حسب الطلب. 

باختصارء إن قاعدة بيانات إدارة التهيئة 01/118 في المؤسسة ليست وحيدة إنما هي 
عبارة عن نظام معقد يتعين عليه توحيد مخازن أخرى للبيانات» والتوفيق بين المنظورات 
البديلة أو ا مختلفة للبيانات نفسهاء والكشف عن التغيرات غير المصرح بهاء والعمل على 
مزامنة التغيرات المعتمدة مع مخازن البيانات الوصفية الخاصة بها وأن يكون قادر على 
تمثيل الهياكل (التكوينات) بيانياً وبشكل متغير حسب الطلب. وهذا ليس بالأمر السهل. 
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يجب على ا مؤسسة التي تقوم بتطوير قاعدة بيانات إدارة التهيئة 02118 الخاصة 
بها أن تتعهد تلك المفاهيم المتعلقة بالنمذجة المتعددة الأبعادء وقضايا الاتحاد. والتوافقية 
والتزامن والنمذجة بشكل شمولي. وبالرغم من أن المدير الأول الذي يقوم بتقييم الخطط 
الخاصة بقاعدة بيانات إدارة التهيئة 0211878 أو النظم المثبتة قد لا يكون لديه مستوى 
معين من الإلمام بهذه المفاهيم الخاصة بعلوم الحاسب؛ فإنه من المناسب جداً بالنسبة 
للمدير الأول أن يسأل أحد العاملين لديه في إدارة تقنية المعلومات عن كيفية التعامل 
مع هذه المسائل. وفي حال عدم ارتياحه لتلك الإجابات» فربما من الضروري العمل مع 
استشاري في تلك القضاياء 


في جميع الأحوال» ينبغي على المؤسسة التي تعمل على إطلاق قاعدة بيانات إدارة 
التهيئة 081108 أن تقوم بوضع عمليات لمراقبة وضمان حدوث الاتحادء والتوافق» والتزامن 
والنمذجة. فالإخفاق في إدارة تلك القضايا الحساسة والحرجة يمكن أن يحول وبشكل سريع 
مشروع قاعدة بيانات إدارة التهيئة 1117© من أصل Asset‏ إلى التزام Liability‏ 


إدارة محفظة تقنية المعلومات: 

من الطبيعي أن يكون كل من إدارة تقنية المعلومات ومستخدمي تلك النظم والعمليات 
قد قاموا مع مرور الوقت بتنفيذ أعداد كبيرة من النظم والعمليات المرتبطة بنظم أخرى» 
سواء كان بشكل مباشر أم غير مباشر, أو أن تكون نظماً مستقلة وقائمة بذاتها. وفي العادة 
قد تم تعيين مديري تقنية المعلومات مسئولين عن بعض تلك النظم والعمليات. في حين أن 
الإدارات الخاصة بمستخدمي تقنية المعلومات قد يضطلعون بالمسئولية المباشرة عن النظم 
والعمليات الأخرى. إلا أن كل مدير مسؤول يعتقد غالباً أن النظم الخاصة به أو بها هي 
الأكثر أهمية عندما يكون هناك خلافات في إعداد الجداول الزمنية للأعمال أو وجود حاجة 
خاصة لإجراء تعديلات» أو احتياجات أخرى متعلقة بالنظم. وتتمكن إدارة تقنية ا معلومات 
عادة من تحقيق بعض الفوائض امالية الكبيرة الخاصة بالخدمات والاستثمارات» وذلك إذا 
نظرت إلى تلك النظم والعمليات الخاصة بتقنية المعلومات والتي تون غالا متفاوتة 
وتقوم بإدارتها على أنها محافظ لموارد تقنية المعلومات .portfolios of 1T resources‏ 
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إن إدارة محفظة تقنية المعلومات تعني تقسيم وإعادة تصنيف وتطبيق إدارة الأصناف 
الكبيرة من موارد تقنية المعلومات. فمبادرات نظم التخطيط والمشاريع الرئيسية والجديدة 
في تقنية المعلومات والخدمات المستمرة لدعم تطبيقات تقنية المعلومات يمكن اعتبارها 
أمثلة على محافظ تقنية المعلومات. 

إن الالتزام الخاص بإدارة محفظة تقنية المعلومات هو تحديد مقدار الجهود غير 
الرسمية لتقنية المعلومات مقدماً وتفعيل القياسات والتقييمات الموضوعية للتصورات 
الخاصة بالاستثمار. فمفهوم إدارة محفظة تقنية المعلومات مشابه لإدارة المحفظة المالية 
إلا أن هناك اختلافات كبيرة بينهما. إذ تكون أصول ا محفظة امالية في العادة عبارة عن 
معايير ثابتة لعلومات قياسية مثل عوائد الاستثمار. من ناحية أخرى: فإن غملية قياس 
قيمة تقنية المعلومات تحتاج غالباً إلى جهود كبيرة. المشكلة هي أن استثمارات تقنية 
المعلومات ليست متاحة كما هو الحال بالنسبة للأسهم والسندات المالية يتم غالباً قياس 
قيمتها باستخدام مقايبس غير مالية. هذا بالإضافة إلى أن أصول محفظة تقنية المعلومات 
لديها علاقة وظيفية مع المنظمة. مثل نظام إدارة المخزون الخاص بالإمدادات أو نظام 
الموارد البشرية الخاص متابعة أوضاع الموظفين. ونظراً لأهميتهم بالنسبة للمؤسسةء فمن 
الصعب قياسهم باعتبارها أحد أشكال محافظ تقنية المعلومات. 

تقدم إدارة محفظة تقنية المعلومات مزايا وفوائد تفوق الأساليب والطرق المتبعة 
في الاستثمارات الخاصة بتقنية المعلومات. كما أن هناك مزايا أخرى تشمل الرقابة 
المركزية على الميزانيةء وإدارة المخاطرء والتوافق الإستراتيجي لاستثمارات تقنية ا معلومات» 
وطلبات استخدام النظم» وإدارة الاستثمارات إلى جانب توحيد إجراءات وقواعد وخطط 
الاستثمارات. 


تطبيق إدارة محفظة تقنية المعلومات: 
يجب على إدارة تقنية المعلومات وبالاتفاق مع المستخدمين الرئيسيين الآخرين للنظم 


أن يقوموا بوضع نهج إدارة ا محافظ لإدارة موارد تقنية المعلومات الخاصة بها وتطوير 
الأهداف العامة وغايات الأداء المرجوة منها. وتختلف إدارة المحفظة عن الإدارة المالية 
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لتقنية المعلومات في أن لها توجهاً صريحاً وهو أن الهدف الإستراتيجي لها يرمي إلى تحديد 

الاستثمارات التي يجب أن نستمر فيها والاستثمارات التي يجب الانسحاب منها. 
يتم تطبيق إدارة محفظة تقنية المعلومات بالنسبة للعديد من المؤسسات من خلال 

تقسيم موارد النظم الخاصة بها إلى ثلاثة مجالات واسعة للمحفظة مع محافظ جزئية 

بداخل كل مجموعة: 

-١‏ محافظ التطبيقات: يمكن أن تحتوي هذه المحافظ على جميع التطبيقات الإنتاجية. 
ويمكن أيضاً تقسيمها إلى محافظ جزئية لمجموعات مختلفة من التطبيقات مثل المالية 
والتطبيقات الإنتاجية الخاصة بالتصنيع وتطوير المنتجات الهندسية. الفكرة هنا هي 
العمل على تطابق وإدارة المحافظ التي لها المفاهيم والأهداف نفسهاء كأن تكون 
هناك محفظة مخصصة للتطبيقات المتعلقة بالرواتب ونظم الموارد البشرية وتطبيقات 
تدريب الموظفين. 
ويجب أن تستند محافظ التطبيقات إلى النظم القائمة مثل النظم المعتمدة على المقر 

الرئيسي للمؤسسة: ونظم الوحدات الميدانية والدولية والنظم الخاضعة لسيطرة المستخدم 

النهائي. كما يجب أن تستند جميع هذه المحافظ إلى قيمتها النسبية في المؤسسة. ويمكن 
أيضاً أن تستند المقارنات والتقييمات إلى مستوى المساهمة في الربحية التي تعود من 
استثمارات تقنية المعلومات. هذا بالإضافة إلى أنه قد تستند هذه المقارنة إلى عوامل غير 
ملموسة كمستوى خبرة إدارة تقنية المعلومات في تقنية محددة أو مدى إمام مستخدميها 

بالتطبيقات والبنية التحتية أو قوى خارجية كظهور تقنيات جديدة وزوال أخرى قدهة. 

؟- محافظ البنية التحتية: تركز هذه الأنواع من المحافظ على تقنية ا لمعلومات والعمليات 
البرمجية الخاصة بإدارة البنية التحتية. ففي بعض الأحيان يتم تقسيم إدارة البنية 
التحتية إلى فئات من إدارة النظم» وإدارة الشبكة» والأمنء وبرامج إدارة التخزين. 
إن قدرة المؤسسات على استغلال البنية التحتية والعمليات التشغيلية وإدارة حلول 
التوريد والخدمات الخاصة بتقنية المعلومات لا يتوقف على إتاحة وتكلفة وفاعلية 
التطنيقاة والخدمات خضب وز اعة إدارة تقحة | وات ا عل لوصول 
إلى اتفاقات مع مقدمي الخدمات من أجل إدارة كامل عملية التوريد. وسعياً منهم 
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لتقليل التكاليف» وزيادة جودة تقنية ال معلومات» وزيادة القدرة التنافسية للمؤسسات 
من خلال انتقاء مصادر وخدمات تقنية المعلومات. فإن العديد من المؤسسات وإدارات 
تقنية المعلومات التابعة لها لا ينظرون إلى الجانب الإداري من المعادلة. ومن النتائج 
التي يمكن التنبؤ بها جراء هذا الإهمال هي المدفوعات الزائدةء وتجاوزات التكاليفء 
وتوقعات م تتحققء والفشل التام. 
تساعد عملية إدارة محافظ نظم برمجيات البنية التحتية لتقنية المعلومات المختصين 
بالبرمجيات على اتخاذ بعض القرارات الصعبة. على سبيل المثال» هل نحن بالفعل نريد 
الترقية إلى إصدار جديد لإحدى قواعد البيانات لدينا؟ في حال كانت الإجابة نعم كيف 
سيتفاعل تطبيق قاعدة البيانات هذا مع عمليات قواعد البيانات المماثلة في جميع أنحاء 
المؤسسة؟ ما التكلفة الكلية التي ستتحملها المؤسسة جراء استخدام هذا المنتج؟ وما القيم 
التي ستحصل عليها امؤسسة منه؟ 
"- محافظ المشاريع: ينبغي على إدارة المحافظ معالجة قضايا الإنفاق على تطوير القدرات 
الابتكارية من حيث العائد المحتمل من الاستثمار return on investment (RO1)‏ أو 
الحد من تداخل الاستثمارات في حالات حدوث إعادة تنظيم: أو استحواذ. أو الامتثال 
للوائح القانونية والتنظيمية. ويمكن الحكم على القضايا الإدارية مع إدارة محفظة 
المشاريع من خلال معايير مثل عائد الاستثمار ۸0١‏ والتوافق الإستراتيجي ونظافة 
البيانات وفوائض الصيانة وملاءمة الحل الناتج والقيمة النسبية للاستثمارات الجديدة 
لاستبدال هذه المشاريع. 
مارست العديد من المؤسسات نشاط إدارة المحافظ على مختلف مشاريع تقنية 
المعلومات والمشاريع التشغيلية لديها من خلال تأسيس مكاتب لإدارة المشاريع. وسيتم 
مناقشة عمليات إدارة المشاريع والبرامج في الفصل السادس عشر من هذا الكتاب. 


مقاييس المحفظة: تحقيق القيمة من خلال إدارة محفظة تقنية المعلومات: 
لن يكون لعملية تقسيم تطبيقات تقنية المعلومات والمصادر الأخرى إلى محافظ 
منفصلة قيمة كبيرة بالنسبة للمؤسسة مالم يتم وضع بعض المقاييس لتقييم قيم المحافظ 


6 دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


إدارة تهيئة ومحفظة تقنية المعلومات 


والمساعدة في اتخاذ قرارات أخرى متعلقة بمحافظ تقنية المعلومات. يجب أن نتذكر أن 
محفظة تقنية المعلومات هي عبارة عن مجموعة من المبادرات وا مشاريع و/ أو البرامج 
التي تحقق فوائد وتأثيرات واسعة المدى. 

وعلى الرغم من أن لدينا مجموعة متنوعة من محافظ تقنية المعلومات التي تم 
إنشاؤهاء فإنه ينبغي على المجموعات الإدارية المناسبة وضع مهمة سارية لكل محفظة من 
هذه المحافظ المتنوعة لتقنية المعلومات. قد يكون للمرء هدف نحو تعزيز نمو الأعمال في 
مجالات محددة تمت تغطيتها بواسطة مجموعة من التطبيقات بواسطة عدة مليارات من 
الدولارات» في حين قد يسعى شخص آخر إلى تحقيق زيادة ملحوظة في مستوى رضا العميل,» 
وآخر قد يسعى إلى زيادة إيرادات المؤسسة من خلال تطوير منتجات جديدة. 

الخطوة التالية هي بناء إستراتيجيات لتحقيق كل هدف من أهداف المحافظ ومن ثم 
وضع مقاييس لقياس مدى نجاحها. وتقتضي النظرة الشمولية هنا أن ننظر إلى مختلف 
تطبيقات وموارد تقنية المعلومات من حيث حجم مساهمتها في تحقيق القيمة المكتسبة 
من جميع العمليات التشغيلية الخاصة بالمؤسسة. وبالطبع عندما تفشل المحفظة في 
تحقيق رسالتها وأهدافها المرجوة, فقد يكون هذا هو الوقت المناسب لإجراء بعض التغيرات 
وربما يشتمل هذا على إعادة تشكيل مكونات المحفظة» أو تغيير الأساليب بشكل كامل أو 
جلب أشخاص آخرين والزج بهم في هذا الخليط. 

يتعين على عمليات إدارة محفظة تقنية المعلومات وكذلك النظم القوية لإدارة التهيئة, 
أن تُحْسّن الأداء الشامل لتقتية المعلوفات وتّحسّن كذلك العمليات التشغيلية لحوكمة 
تقنية المعلومات. كما يجب على كل من هذين المجالين تشجيع كل من موظفي تقنية 
المعلومات والإدارة العامة على التفكير بشكل أفضل بالعمليات التشغيلية لتقنية المعلومات 
كما لو كانت مشاريع استثمارية لأعمال اممؤسسة. 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات للق 


N: 


الفصل الخامس عشر 
عمليات تنفيذ النظم التطبيقية وحوكمة تقنية المعلومات 


كانت عملية تطوير النظم التطبيقية في فترة من الفترات مصدر قلق كبير بالنسبة 
لإدارات تقنية المعلومات. وذلك عندما كانت معظم وحدات برمجة وتطوير نظم تقنية 
المعلومات تقوم بتصميم النظم الجديدة الخاصة بها وتكتب البرامج باستخدام موارد قسم 
تقنية المعلومات وتقوم بتنفيذ واختبار المكونات البرمجية الأساسية للتطبيقات الجديدة. 
وقد كانت عملية التطوير هذه في بعض الأحيان تقود بعض المؤسسات إلى نفق مظلم. 
وكان يتم عادة تسليم تطبيقات تقنية العلومات الجديدة اللحلية [واللطورة داشا في 
وقت متأخر أي بعد الوقت المحدد بكثير» وكان يتم اختبار تلك الأنظمة بشكل ضعيف» وم 
تكن تحقق أهدافها المعلنة. والأسوأ من ذلك. أنه كان في بعض الأحيان يتم إطلاق مشاريع 
تطبيقات جديدة دون فهم واضح لأهداف النظام. ويعود هذا العصر من مشاريع تطوير 
التطبيقات الفاشلة إلى الأيام الأولى لظهور تقنية المعلومات. وذلك عندما شعر الجميع بأن 
متطلبات نظم تقنية المعلومات الخاصة بهم عبارة عن متطلبات فريدة من نوعها وخاصة 
بأنظمتهم فقط. الأمر الذي استوجب عليهم القيام بتطوير التطبيقات الخاصة بهم لدعم 
وتحقيق تلك المتطلبات الفريدة والخاصة بهم. 

وف الوقت الذي كان مؤلف هذا الكتاب يسترجع تاريخه ليبين ذلك فقد أقر بأنه كان 
يعمل ذات يوم في إحدى شركات تقنية المعلومات حيث كانت هناك جهود خاصة بتطوير 
النظم من أجل تطوير تطبيقات جديدة خاصة بحسابات المدفوعات - وقد كان آنذاك 
عبارة عن تطبيق لتحرير الشيكات بصورة فعالة - أو حتى لتطوير وبرمجة نظم جديدة 
ممعالجة الرواتب! وذلك في ضوء القوانين الخاصة بالولاية أو القوانين الوطنيةء فقد كان 
هناك بالفعل اختلافات ضئيلة بين المتطلبات الخاصة بأحد نظم الرواتب مقابل متطلبات 
غيره من النظم. من جهة أخرىء وبالعودة إلى تلك الأيام فقد كان هناك عدد قليل من 
التطبيقات التي يتم تطويرها بشكل تجاري لاستتجارها أو شرائها. أما اليوم» فإننا بشكل 
عام نقوم بشراء هذا النوع من البرمجيات من أحد الموردين الخارجيين الذين يقومون 


دليل امستول التنفيذي لحوكمة تقنية المعلومات الاع 


الفصل الخامس عشر 


بتوريد البرمجيات والتحديثات الخاصة بها على نظام حاسبات الخادم - العميل الموجود في 
مكاتب المؤسسة أو إتاحة تلك البرمجيات من خلال بيئة الحوسبة السحابية (انظر الفصل 
التاسع من هذا الكتاب الذي يتحدث عن الحوسبة السحابية). 


وعلى الرغم من الانتقال هذه الأيام من التطبيقات المطورة داخلياً إلى التركيز 
أكثر على البرمجيات التي يتم شراؤها وتوريدها من قبل أحد الباعة؛ لا تزال هناك 
حاجة لدى المؤسسة بأن تقوم بتطوير وبناء واختبار بعض نظم التطبيقات الخاصة 
بها أو أن تقوم بالتعديل على بعض التطبيقات التي قامت بشرائها. ويعد هذا الأمر 
واقعياً على وجه الخصوص عندما تقوم المؤسسة بتطبيق أحد نظم قواعد البيانات 
المعقدة ذات ال مهام المتعددة والمترابطة والمعروفة بنظم تخطيط موارد المؤسسة إي 
آر بي .Enterprise Resource Planning (ERP)‏ حيث تمتلك هذه النظم المعقدة 
التي يتم توفيرها من قبل الباعة القدرة على ربط جميع وظائف التطبيقات تقريباً 
في مجموعة واحدة من قواعد البيانات المترابطة. على سبيل المثال» عند تثبيت نظام 
88 في بيئة نظام صناعيء فإن تنفيذ طلب شراء منتج قد يتسبب في إحداث تغيرات 
في كل من نظام التصنيع ونظام الإنتاج» حيث يتم وضع أمر التوريد عند الحاجة إلى 
مواد اضافية وغيرها من العمليات الكاملة لبيع وشحن الانتاج. 

وكعنصر أسامي من عناصر العمليات الرشيدة لحوكمة تقنية المعلومات» فإن الؤسسة 
تحتاج إلى عمليات قوية لتطوير نظم تقنية ا معلومات» سواء لبناء تطبيقات بطرق تقليدية 
أم للحصول على ترخيص من البائع فيما يخص التطبيق السحابي. 

يناقش هذا الفصل الجوانب الخاصة بحوكمة تقنية المعلومات فيما يتعلق بأساليب 
تطوير التطبيقات الخاصة بتقنية المعلومات من منظور التطبيقات التي تم تطويرها عبر 
عمليات تطوير نظم معتمدة ومعروفة جيداً مروراً بالعمليات الشائعة لتطوير التطبيقات 
السريعة باستخدام تطبيقات لإنشاء أنواع مختلفة من التقاريرء ووصولاً إلى قواعد البيانات 
الشاملة لنظام تخطيط موارد المؤسسة 888. لذا يجب أن يكون لدى إدارة المؤسسة فهم 
جيد لعمليات حوكمة تقنية المعلومات التي تحيط بجهودها المبذولة لتطوير تطبيقات 


نظم جديدة. 


VY‏ دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


عمليات تنفيذ النظم التطبيقية وحوكمة تقنية المعلومات 


دورة حياة تطوير النظم: إحدى التقنيات الأساسية لتطوير التطبيقات: 

لقد كانت السنوات الأولى لتطوير تطبيقات تقنية المعلومات مليئة بالكوارث فيما يخص 
النظم الجديدة في العديد من المؤسسات. كان المدير الأول - غالباً المراقب المالي للمنظمة - 
يقوم بإخبار رئيس قسم تقنية المعلومات بأنه يريد تطبيقاً جديداً لتحقيق حاجة ما. وبدون 
إجراء المزيد من عمليات التحليل يقوم فريق البرمجة بالتجمع لكتابة برامج لتلبية هذه 
الحاجة. وكانت النتائج فاشلة غالبا حتى وإن كانت تلك التطبيقات الجديدة تعمل وتم 
تسليمها في الموعد المناسب» فإنها م تكن تلبي غالباً متطلبات وتوقعات الإدارة. إننا نتكلم هنا 
عن الأيام الأولى لنظم الحاسبات المركزية 7021068726 لتقنية المعلومات عندما كانت عملية 
شراء البرمجيات غير معروفة وكان الجميع يقومون بإنتاج التطبيقات الخاصة بهم. 

بالتأكيد لم تكن المفاهيم الخاصة بحوكمة تقنية المعلومات معروفة في تلك الأيام 
المبكرة التي كانت تتميز بوجود نظم الحاسبات المركزية» وبرامج الكوبول 00780[1: 
والتي كانت تتميز بوجه خاص بوجود النظم الموجهة نحو الدفعة 165]60ه-داء02 
65 وقد كان هناك بالتأكيد العديد من الإخفاقات الخاصة بتطوير التطبيقات. 
ولتنظيم عملية تطوير النظم وقتهاء قامت شركة 182/1 وهي الممزود الرئيسي للمعدات 
والبرمجيات في تلك الأيام بإطلاق نهج خاص بتطوير النظم عُرفَ بدورة حياة تطوير النظم 
.Systems Development Life Cycle (SDLC)‏ وعلى الح من محاولة العديد من 
الشركات الأخرى إنتاج أساليب أخرى مختلفة لتطوير النظم» فإن نهج 521٥‏ أصبح مثابة 
العملية الرئيسية لتطوير التطبيقات الفعالة في تقنية المعلومات. 

يعرض الشكل التوضيحي )١1-١0(‏ الخطوات العملية الأساسية لنهج 521٥‏ في شكل 
عملية دائرية أو مستمرة. ومع أن المؤسسة وإدارة تقنية المعلومات التابعة لها بإمكانهم 
البدء بعملية تطوير النظم من أي نقطةء فإن هناك أولاً حاجة لعملية تحليل المتطلبات» 
وهذا يعني أنه قبل أن تبدأ وحدة تقنية المعلومات بأي عمل يتعلق بتطوير النظم» يجب 
عليها أولاً الحصول على تفاهم رسمي حول الأهداف والتوقعات الخاصة بمشروع النظام 
الجديد. ومن الطبيعي أن يتم التوثيق والتصديق على ما تم الاتفاق عليه من خلال عملية 
إدارية مع عمل تقديرات أولية لتكاليف النظام الجديد والفوائد المتوقعة منه. 


دليل امستول التنفيذي لحوكمة تقنية المعلومات VF‏ 


الفصل الخامس عشر 


وبمجرد أن تتم الموافقة على التطبيق الجديد. يتعين الانتقال إلى مرحلة أخرى رسمية 
من تصميم وبرمجة التطبيق. ويجب أن يتم تطوير وتوثيق كل برنامج ومكون من برامج 
ومكونات النظام الجديد ومن ثم اختباره باعتبارها وحدة مستقلة. ثم ننتقل بعدها إلى 
مرحلة اختبار وتطبيق النظم بالكاملء الأمر الذي يؤدي إلى تطبيق النظام. 


شكل توضيحي )١-10(‏ 
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المراحل التنفيذية للتطبيق 
ادم 1 


VE‏ دليل المستول التنفيذي لحوكمة تقنية امعلومات 


عمليات تنفيذ النظم التطبيقية وحوكمة تقنية المعلومات 


إن المفهوم الشامل من وراء عملية دورة حياة تطوير النظم 521٤‏ هي أنه عند تنفيذ 
تطبيق جديدء ينبغي على إدارة تقنية المعلومات وإدارة المؤسسة مراقبة نجاح وتقدم هذا 
التطبيق الجديد. الأمر الذي قد يؤدي إلى الحاجة إلى إجراء تعديلات أو تنقيحات على 
النظام أو الحاجة إلى نظام جديد كلياً. ومن ثم فإن دورة حياة تطوير النظم 551٤‏ هي 
عملية تحسين مستمرة تهدف إلى تطوير التطبيقات الجديدة الخاصة بتقنية المعلومات 
ومراقبتها بشكل مستمر. وتعود عملية دورة حياة تطوير النظم 501.0 تاريخياً إلى 
زمن نظم الحواسيب المركزية ونظم الدفعة التي كانت وقتها تحتاج إلى موافقات ووثائق 
تفصيلية كثيرة لكل خطوة من خطوات العملية. 

وعلى الرغم من تحولنا الآن إلى التطوير السريع وعمليات تطوير تطبيقات النماذج التي 
تعتمد بشكل كبير على البرمجيات التي يوفرها البائع» فإن العناصر الرئيسية لعملية دورة 
حياة تطوير النظم 521:0 يجب أن تبقى في موضع التنفيذ بالنسبة لأي عملية تطوير 
لتطبيقات جديدة في تقنية المعلومات. هذا يعني أن تطبيقات النظم الجديدة يجب 
أن تسير دائاً من خلال عملية رسمية لتحليل متطلبات النظم وعمليات رسمية لإطلاق 
التطبيقات وعمليات لتحسين تلك التطبيقات والاستغناء عنها في أواخر حياتها. 

بالاعتماد على نوع وطبيعة عملية تطوير نظم تطبيقات تقنية المعلومات» فإن عملية 
تحليل المتطلبات يمكن أن تكون غير رسمية أو رسمية للغاية. إلا أن الشكل التوضيحي 
(10-؟) يوجز لنا محتويات العملية التقليدية لتحليل متطلبات تطوير النظم. إن المفتاح 
الرئيسي لهذه العملية هو أنه يجب على فريق المشروع أن يلقي نظرة فاحصة على طلبات 
المستخدمين وحتى على طلبات إدارة تقنية المعلومات المتعلقة بالتطبيق الجديد وتحديد 
ما إذا كانت هذه الطلبات منطقية أم لا. ما يحدث في الواقع» هو أن العديد من الطلبات 
الخاصة بتطبيق تقنية المعلومات يتم استبعادها بعد التحليل الأوّلي للنظم. وعلى أي حال 
فإن عملية تحليل المتطلبات توفر آلية رسمية لمراجعة الطلبات الجديدة الخاصة بالتطبيق 
الجديد وتحديد ما إذا كانت هذه الطلبات منطقية أم لا. 


يعد تحليل المتطلبات خطوة واحدة فقط من الخطوات ال موجودة في دورة حياة تطوير 
النظم, إلا أنه يجب تضمينها دائما في عملية تطوير النظم. وكأحد المكونات الرئيسية في عملية 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات Vo‏ 


الفصل الخامس عشر 


حوكمة تقنية المعلومات» فإنه ينبغي على المؤسسة وإدارة تقنية المعلومات التابعة لها أن 
تمتلك نموذجاً من النماذج المعمول بها لعملية دورة حياة تطوير النظم 521.٤‏ حتى في حال 
استخدامهم لعمليات التطوير السريع, كالنمذجة التي سنتحدث عنها في الفقرات التالية. 


عمليات التطوير السريع في تقنية المعلومات: النمذجة (ع”نمراه†هإ۴): 
إن استخدام العمليات الرسمية لدورة حياة تطوير النظم 5201٤‏ كان له أثر ومعنى كبير 
في الأيام الأولى لنظم تقنية ا معلومات» وذلك عندما كانت المؤسسات هي التي تقوم بتطوير 
وبرمجة تطبيقاتها بشكل كاملء وعندما كان هناك حاجة لتوثيق وصياغة عمليات تطوير 
النظم الجديدة بشكل رسمي. وقد كان» هناك مجموعة متنوعة من التجار الذين قاموا 
ببيع أساليب تطوير الأعمال وإدارات تقنية المعلومات التابعة لها. وقد كانت المنتجات التي 
يتم تسويقها في ذلك الوقت تطلب من مطوري النظم أن يقوموا بتحضير وثائق تفصيلية 
عن جميع مراحل الأعمال التي قاموا بإنجازها. وباتباع ذلك بالشكل السليم» أدت تلك 
ا منهجيات إلى الوصول لنظم تطبيقات جديدة موثقة ومخطط لها على نحو جيد. كان 
هدفها هو مجرد تحسين عملية تطوير وتنفيذ التطبيقات الجديدة لتقنية المعلومات. وقد 
كانت المشكلة الوحيدة وقتها أن المنهجيات الكثيرة الخاصة بتطوير الوثائق كانت في كثير من 
الأحيان لا تعمل بشكل جيد. فقد كانت المنهجيات المنشورة وقتها تتطلب استكمال العديد 
من الوثائق الرسميةء وجميعها يحتاج إلى مراجعات وموافقات. ومع ذلك. فقد قامت كل 
من وحدة تقنية 3 المعلومات والإدارة بالنظر في أعمال التطوير الجديدة وكانت باستمرار تقرر 

أموزا لفت نة فاا وک ا یزار عن كرات اققات کون نونك غا 
لم يعد هناك وجود بالأساس لبائعي هذه المنهجيات الرسمية المنشورة لدورة حياة 
تطوي ر النظم 501٤‏ تماماً كما ابتعدنا نحن عن النظم الرسمية للحاسبات ال مركزية 
.Mainframe‏ أما اليوم فهناك تطبيقات جديدة يتم بناؤها غالبا من خلال أدوات برمجية 
سهلة الاستخدام تعتمد على الجداول. حيث إننا نقوم ببناء إصدار أولي أو نموذجيء ومن 
ثم نقوم بتعديل هذا النموذج ليتوافق مع المتطلبات» ثم نقوم بتنفيذ التطبيق. هذه 
الأنواع من التطبيقات تم تطويرها من خلال عملية تسمى التطوير السريع للتطبيقات 
Application Development (RAD)‏ 10م12. وهي منهجية لتطوير البرمجيات تعتمد 


e1‏ دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


عمليات تنفيذ النظم التطبيقية وحوكمة تقنية المعلومات 


على استخدام الحد الأدنى من أساليب التخطيط والنماذج المبدئية لإطلاق النسخة أو 
الإصدار الأوّليء ومن ثم يتم ضبطه وتعديله حتى ينال استحسان الجميع. وينظر كل من 
المستخدمين ووحدة تقنية المعلومات إلى هذا الإصدار للنموذج المبدئي ويقومون بإجراء 
المزيد من التغييرات ليصلوا في نهاية المطاف إلى التطبيق النهاني. إن هذا القصور في 
التخطيط المسبق المكثف بشكل عام يسمح بكتابة البرمجيات بشكل أسرع بكثير ويجعل 
عملية تغيير المتطلبات أكثر سهولة. يوضح الشكل التوضيحي (10-”) نسخة مبسطة 
لعملية تطوير البرمجيات القائمة على منهجية التطوير السريع (۸۸. 
شكل توضيحي )7-١0(‏ 
عملية تحليل المتطلبات الخاصة بتطوير النظم. 

٠‏ التحضير لتحليل متطلبات النظم: تعيين أعضاء فريق المشروع وجمع المعلومات الأساسية, متضمناً 
ذلك المجموعات التي قامت بوضع وتحديد هذه المتطلبات وغيرهم من مجموعات ا لمستخدمين 
ا محتمل مشاركتهم في هذه العملية للسماح بجمع وتحليل متطلبات النظام. 

٠‏ تحديد متطلبات الأعمال: تحديد كل المتطلبات سواء كانت داخل النطاق أم خارج النطاق» وتحديد 
وتوثيق قواعد الأعمال المخطط لهاء بالإضافة إلى تحديد الواجهات المحتملة من وإلى التطبيق الجديد. 

٠‏ تحديد نموذج العمليات. تحديد وتخطيط العمليات الرئيسية للأعمال التي ستتعامل مع التطبيق 
الجديد المقترح. ثم تجزئة هذه العمليات إلى وظائف رئيسية وفرعية يمكن التحكم بها حتى نصل 
إلى حد لا يمكن فيه تقسيمها أكثر من ذلك. 

٠‏ تحديد نموذج بيانات منطقي: فهم ونمذجة البيانات بشكل منطقي لدعم التطبيق المقترح. وتحديد 
كيانات التطبيق وعلاقاتها بالكيانات الأخرى» هذا بالإضافة إلى تحديد السمات أو الحقول التي 
تتوافق مع الأعمال. 

٠‏ تحقيق التوافق بين متطلبات الأعمال والنموذج: يجب على فريق ال مشروع التأكد من أن كلا من 
العملية التي تم تعريفها والنموذج المنطقي للبيانات يستوعب جميع المتطلبات وقواعد العمل. 


٠‏ وضع المواصفات الوظيفية: لا بد من دمج الواجهات الأمامية والعمليات والبيانات لكي تصف 
بشكل نظامي كيف يمكن للمستخدم المحتمل أن يستخدم النظام وكيف يمكن استرجاع ومعالجة 
وتخزين البيانات المرتبطة. 





دليل المسئول التنفيذي لحوكمة تقنية المعلومات eW‏ 


الفصل الخامس عشر 


تبدأ عملية التطوير السريع للتطبيقات ۸42 بتطوير النماذج الأولية للبيانات وعمليات 
الأعمال لتتمكن من تحديد المتطلبات الأولية. ويمكن إصدار عينة أو نموذج مبدثي من 
التطبيق باستخدام واحدة من الأدوات البرمجية القوية المتخصصة بإنشاء التقارير هذه 
الأيام. ومن ثم يتم فحص هذا النموذج مقابل المتطلبات الموجودة حتى يتسنى إدخال 
التحسينات اللازمة على نماذج البيانات والعمليات. هذه المراحل تتكرر بشكل دوري؛ فهناك 
مزيد من مخرجات التطوير موجودة في بيان شامل يجمع متطلبات الأعمال والتصميم 

التقني ليتم استخدامها في بناء نظم جديدة. 
يترتب غالباً على أساليب التطوير السريع للتطبيقات 841 تقديم تنازلات على مستوى 

الأداء الوظيفي وأداء التطبيق بشكل عام في مقابل تمكين تطوير أسرع وتسهيل صيانة 

التطبيق. تتكون عملية التطوير السريع للنظم من المراحل الأربع التالية: 

-١‏ مرحلة تخطيط المتطلبات في 1847: يجب على تقنية المعلومات في المؤسسة أن تستخدم 
بعض العناصر نفسها الموجودة في مراحل تخطيط وتحليل النظم للعملية التقليدية 
الخاصة بدورة حياة تطوير النظم 501:0 الموضحة في الشكل التوضيحي (7-10). في 
جميع الأحوالء ووفقاً لأسلوب التطوير السريع للتطبيقات فإنه يتعين على المستخدمين» 
والمديرين» وأعضاء فريق تقنية المعلومات» مناقشة متطلبات الأعمالء ونطاق المشروع» 
والقيودء ومتطلبات النظام والموافقة عليها. تنتهي هذه المرحلة عندما يتفق الفريق على 
القضايا الرئيسية والحصول على تصريح من الإدارة بالاستمرار. 


3 دليل المستول التنفيذي لحوكمة تقنية ا معلومات 


عمليات تنفيذ النظم التطبيقية وحوكمة تقنية المعلومات 


شكل توضيحي )7-١0(‏ 


عملية تطوير البرمجيات وفقاً لأسلوب التطوير السريع للتطبيقات ۸۸0 


۲- مرحلة تصميم تطبيقات المستخدم في ۸4: في هذه المرحلة يعمل المستخدمون مع 
محلاي النظم على وضع النماذج والنماذج الأولية التي تمثل جميع عمليات ومدخلات 
ومخرجات النظم. وتقوم عادة المجموعات الرئيسية والفرعية المشاركة في عملية التطوير 
السريع للتطبيقات ۸42 باستخدام أدوات تطوير التطبيقات الموجودة في إدارة تقنية 
المعلومات لترجمة احتياجات المستخدم إلى نماذج عمل. وتعد مرحلة تصميم تطبيقات 
ا مستخدم عملية تفاعلية مستمرة فهي تسمح للمستخدمين بفهم وتعديل نموذج العمل 
الخاص بالنظام الذي يلبي جميع احتياجاتهم. 

- مرحلة البناء: تركز هذه المرحلة على مهام تطوير برامج وتطبيقات مشابهة لعملية دورة 
حياة تطوير النظم 501:0. وطبقاً لنهج التطوير السريع للتطبيقات» فإنه ومن ناحية 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات ولع 


الفصل الخامس عشر 


أخرى» يستمر المستخدمون في المشاركة واقتراح التعديلات والتحسينات عند التطوير 
الفعلي للشاشات والتقارير. وتتمثل مهام هذه المرحلة في البرمجة وتطوير التطبيقاتء 
وكتابة التعليمات البرمجية» وتكامل الوحدات واختبار النظام. 

ع- مرحلة الانتقال في ۸4: تشبه هذه المرحلة الأخيرة المهام الأخيرة الموجودة في تطبيق 
دورة حياة تطوير النظم 521٥‏ بما فيها تحويل البيانات والاختبار والتحول إلى النظام 
الجديد وتدريب المستخدمين. وبالمقارنة مع الطرق التقليدية» فإنه يتم ضغط العملية 
برمتها. ونتيجة لذلكء فإنه يتم بناء النظام الجديد وتسليمه ووضعه موضع التشغيل 
بشكل أسرع بكثير. فمهام هذه المرحلة هي تحويل البيانات واختبار النظام بأكمله 
وتحويل النظام وتدريب المستخدمين. 
لقد بدأ نهج التطوير السريع للنظم ۸۸2 الخاص بتطوير النظم في الوقت الذي 

بدأت فيه المؤسسات وإدارات تقنية المعلومات التابعة لها في الانتقال من نظم الحاسبات 

المركزية القدهة إلى نظم العميل-الخادم: وذلك أثناء زيادة هيمنة نظم الحاسبات المحمولة 
والحاسبات المكتبية» والأكثر أهمية من ذلك هو ظهور الإنترنت. وبالعودة إلى أيام دورة حياة 
تطوير نظم 521٥‏ الخاصة بالحاسبات الكبيرة المركزية» فقد عبر العديد من مستخدمي 
تقنية المعلومات داخل المؤسسة وقتها عن استيائهم من عمليات التطوير البطيئة وفشل 
النظم الجديدة والميزانيات المهدرة ومجموعة من المشاكل الأخرى. إن تقديم أدوات 
التطوير السريع للتطبيقات ۸42 إلى مستخدمي النظم هؤلاء كان أشبه بالتجلي. فقد 
تمكنوا من إلقاء نظرة سريعة على إصدارات النماذج الأولية لتقارير وحتى عمليات النظم 
ومن ثم استطاعوا المضي قدماً من خلال الإصدار السريع والفعال لنهج التطوير السريع 
للتطبيقات 84872. 
ونظراً لسهولة استخدامهاء فإن المؤسسات التي تشجع على استخدام أدوات 
التطوير السريع للتطبيقات ۸42 قد تجد نفسها في مشاكل تتعلق بالأمن والضوابط 

الداخلية للتطبيقات في حال استخدمت نهج التطوير السريع للتطبيقات R۸۲‏ 

بشراسة لتطوير التطبيقات الجديدة دون وضع الضوابط الملائمهة على التطبيقات 


EN‏ دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


عمليات تنفيذ النظم التطبيقية وحوكمة تقنية المعلومات 


الجديدة. الشكل التوضيحي )6-١0(‏ يوجز لنا بعض ضوابط وإجراءات حوكمة تقنية 
المعلومات التي لا بد من وجودها في المحيط الذي تستخدم فيه عمليات التطوير 
السريع للتطبيقات 841. 

تقوم العديد من المؤسسات هذه الأيام بتطوير تقاريرها الخاصة بها والتي يتم إنشاؤها 
حسب الطلب لدعم تطبيقات البرمجيات التي تم شراؤها. ويتم اليوم تطوير تطبيقات 
البرمجيات التي يتم شراؤها بصورة شبه دائمة باستخدام أداة خاصة لإنشاء التقارير أو 
باستخدام إحدى أدوات التطوير السريع للتطبيقات الخاصة بهذه البرمجية. ويمكن تطبيق 
أفضل ممارسات حوكمة تقنية المعلومات التي تمت مناقشتها في هذا الفصل على جميع 
هذه الأدوات. 


تخطيط موارد المؤسسة وعمليات حوكمة تقنية المعلومات: 

يتم عادة توظيف أحد قواعد البيانات الشاملة للعمل على أنه مستودع للبيانات» 
حيث تعمل نظم تخطيط موارد المؤسسة (8128) على تكامل المعلومات الإدارية الداخلية 
والخارجية عبر المؤسسة بالكامل حيث تشتمل على نظم الإدارة الماليةء وإدارة التصنيع عند 
الحاجة» وإدارة ا مبيعات والخدمات وإدارة علاقات العملاء وغير ذلك. وتعد نظم 8۸۶ من 
قواعد البيانات المعقدة التي تعمل على أتمته هذا النشاط من خلال تطبيقات البرمجيات 
المتكاملة. حيث إن الغرض من هذه النظم هو تسهيل تدفق ال معلومات بين جميع وحدات 
الأعمال داخل حدود المنظمة وإدارة الاتصالات مع أصحاب المصالح الخارجيين. إذاً فالهدف 
من نظام 885 هو تحسين وتبسيط العمليات الداخلية للأعمال والذي يتطلب عادةً إعادة 
هندسة العمليات الحالية لتلك الأعمال. 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات 3 


الفصل الخامس عشر 


شكل توضيحي (6-10) 
ضوابط وإجراءات حوكمة تقنية المعلومات المتعلقة بالتطوير السريع للتطبيقات 847. 


إن التطوير السريع للتطبيقات ۸42 هو أسلوب لتطوير البرمجيات. حيث يركز على فترات 
زمنية قصيرة للتطوير (من "١‏ إلى ٠0‏ يوماً). وهذا الأملوب لا يصلح في تطوير التطبيقات المعقدة 
أو التطبيقات التي تعالج كميات كبيرة من المعاملات بشكل سريع مثل البينات الخاصة بمعالجة 
الدفعة. وقد يكون من المناسب بالنسبة للمؤسسة أن كنم هذا الأملوب لتطوير أو إعادة تصميم 
التطبيقات ذات المخاطر المنخفضة أو التطبيقات الأقل تعقيداً مثل مواقع الويب (الإنترنت) ذات 
ال معاملات التي لا تحتوي على طاقة إنتاجية عالية اللمستوى عاونا إضافة إلى ذلك واستناداً 
إلى درجة تحمل المؤسسة للمخاطر وتحديد المهام الحساسة والحرجة للتطبيق. فإنه يتحتم على 
المؤسسة استخدام الضوابط والإجراءات الخاصة بحوكمة تقنية المعلومات لضمان توظيف الأساليب 
ا مناسبة الخاصة بالتطوير السريع للتطبيقات ۸45 أثناء مراحل التصميم والتطوير للتطبيق الجديد 
في تقنية المعلومات ضمن منهجية تطوير مهيكلة. والنقاط التالية توجز بعض الضوابط والإجراءات 
العامة والجيدة في حوكمة تقنية المعلومات: 


٠‏ اختر أداة مناسبة لتوليد تقارير التطبيقات بحيث تكون مرنة وتلبي احتياجات تطبيقات الأعمال. 


كما يتعين على الإدارة ضمان أن أس لوب التطوير الذي تم اختياره مناسب لإدارة تعقيدية ومخاطر 
التطبيقات التي بصدد تطويرها. 
«ضع قواعد لتقنية ا معلومات مثل أنه سيتم فقط استخدام تقنية التطوير السريع للتطبيقات R۸۸۲‏ 


التي تمت الموافقة عليها لأغراض التطبيقات الإنتاجية ما م تكن هناك موافقة محددة من الإدارة 
العليا لتقنية المعلومات. 


٠‏ نفذ برامج تدريبية أولية ومستمرة لكادر تقنية المعلومات والمستخدمين المعنيين تتعلق باستخدام 
الأداة البرمجية التي تم اختيارها للتطوير السريع لتطبيقات 841. 


٠‏ ضع معايير خاصة بإدارة تقنية المعلومات فيما يتعلق بالتطبيقات المطورة خلال عمليات التطوير 
السريع للتطبيقات ۸42 والتي تضم المراحل الرسمية للبدء. والتطويرء والتنفيذ. حيث تتطلب 
الفترة الزمنية القصيرة ممشاريع التطوير السريع للتطبيقات ۸42 ضرورة الإسراع في تحديد المتطلبات 
الوظيفية التي يجب أن تبقى إلى حد كبير دون تغيير أثناء عملية التطوير. 





AY‏ دليل المستول التنفيذي لحوكمة تقنية ا معلومات 


عمليات تنفيذ النظم التطبيقية وحوكمة تقنية المعلومات 


٠‏ حدّد أي المستويات المناسبة من العاملين والمستخدمين النهائيين في تقنية المعلومات هم الذين سيتم 
تعيينهم في مشاريع التطوير السريع للتطبيقات لبناء وتعديل التصميمات. أما بالنسبة لمشاريع التطوير 
السريع للتطبيقات الأكبر حجماء فإنه يجب تعيين المتخصصين كمديري قواعد البيانات» وفنيي الشبكات 
ومبرمجي النظم ليكونوا مسؤولين عن القرارات الرئيسية المتعلقة بالتطوير السريع للتطبيقات ۸42. 

٠‏ لا بد من وجود معايير وضوابط للتطوير السريع للتطبيقات 287 في المؤسسة للتأكد من: 

- أن الإدارات تستخدم أساليب التطوير السريع للتطبيقات ۸42 فقط إذا اقتضت الحاجة ذلك . 

- أن الإدارة تشتمل على الخصائص الأمنية والرقابية في جميع التطبيقات اممطورة. 

- أن موظفي ضمان الجودة يقومون بفحص ما إذا كانت السمات الأمنية والرقابية (التي تتناسب 
مع مستويات المخاطر) موجودة وموظفة كما يجب أم لا. 

- أن المستخدمين النهائيين يشاركون بشكل مناسب خلال مشروعات التطوير السريع للتطبيقات 841. 


- أن مديري المشروعات يراقبون عن كثب وعن قرب جميع أنشطة المشروع. 


٠‏ قم بتحديد ما إذا كانت جميع التطبيقات التي تم تطويرها باستخدام التطوير السريع للتطبيقات 
قد تم توثيقها بالشكل المناسب ام لاء وان عملية التوثيق قد تمت بالتوازي مع عملية تطوير 
التطبيق. ومن خلال الإنتاج المتزامن للوثائق ودون زيادة الوقت المخصص لتطوير التطبيق» فإن 
التطبيقات المطورة بتقنية التطوير السريع للتطبيقات ۸42 ستسهم في توفير الوقت أثناء عمليات 
الصيانة المستقبلية للنظام. 

٠‏ قم بوضع مبادئ صارمة فيما يخص قواعد التسمية أو كتابة الجمل البرمجية بحيث يتمكن مطور 
تطبيقات ۸۸2 بشكل شبه دائم من فهم نص شيفرة المصدر 0006 ع26ناه50 الخاصة بمولد 
التطبيقات الذي يتم توليده من قبل أحد محترفي التطوير السريع للتطبيقات ۸4۲ أو غيره من 
محترفي تقنية المعلومات. 





يمكننا التأمل في وظائف نظام 818 من خلال عملية التصنيع» حيث يحتاج أحد أجزاء 
المنتج إلى تصميم» وطلب الموارد اللازمة لبناء هذا الجزء. ووضع العمليات الخاصة بحساب 
تكلفة وتسويق هذا الجزء حيث يتم تنفيذ طلبات شراء المواد. وتبدأ عملية الإنتاج» ومن 
ثم يآتي دور التدفق الكلي لعمليات الإنتاج والعمليات التشغيلية فيما يتعلق باستقبال أوامر 
الشراء من العميلء والشحن. وإصدار الفواتير الخاصة بهذا العنصر. إن هذه العمليات 
وغيرها تنطوي على سلسة من أنشطة مستقلة إلا أنها مرتبطة فيما بينها بعلاقات متبادلة, 
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حيث كانت تدار في السابق عن طريق مجموعة منفصلة من تطبيقات تقنية المعلومات 
مثل التطبيقات الخاصة بتلقي الطلبات ومراقبة المخزون وجدولة الإنتاج والشحن وحساب 
المقبوضات وغيرها الكثير. في حين يقوم نظام 817 بربط جميع هذه الأنشطة وأكثر في 
سلسلة مترابطة بإحكام من وظائف قاعدة البيانات. 

يحاول نظام E۸۶‏ أن يعمل على تكامل كل الأقسام والإدارات في الشركة ليضعها في نظام 
حاسب آلي واحد يمكنه خدمة وتلبية الاحتياجات الخاصة بجميع الأقسام التابعة لها. وقد 
يكون هذا أمراً صعباً أن يتم بناء نظام برمجي واحد يلبي حاجات الناس في الأمور المالية 
بالإضافة إلى الموارد البشرية وا مستودعات. فقبل ظهور نظام £۸۶, عادة ما كان لكل قسم 
من هذه الأقسام نظام حاسب آلي خاص به مُطور بوسائل خاصة بحيث يستطيع القسم أن 
يقوم بأداء الأعمال الخاصة به» إلا أن نظام E۸۴‏ قد قام بدمج هذه النظم جميعاً في نظام 
برمجي واحد متكامل يدار من قبل قاعدة بيانات واحدةء بحيث يسمح للأقسام المختلفة 
بمشاركة المعلومات والاتصال فيما بينهم بسهولة. قد يكون لهذا النهج التكاملي مردود 
واسع إذا ما قامت الشركات بتثبيت البرمجية بشكل سليم. 

يوجد العديد من الطرق لوصف نظام 8787. إلا أن الشكل التوضيحي (0-10) يعرض 
نوفا لتق البياتات الحاسبية الأساسية الخامة اعمال إخدى السات ونتضمن 
أوامر الشراء وحساب المدفوعات وغيرها من العمليات التقليدية لنظم الأعمال التي ستكون 
جزءاً من نظام 888. هذه العناصر تعد من متطلبات النظم اللازمة لبناء أحد أجزاء 
عملية التصنيع والتي تم وصفها مسبقا. فقد كانت هذه العناصر عبارة عن عمليات نظم 
تقليدية منفصلة لكل منها بيانات وملفات معاملات رئيسية خاصة بهاء وتستطيع الاتصال 
بتطبيقات أخرى كنظام الأستاذ العام. وعلى الرغم من أن هذا الشكل يعرض سلسلة 
من عمليات توزيع الإنتاج كالوظائف التقليدية لحساب المقبوضات» وحساب المدفوعات» 
فإن التطبيق الكامل لنظام E۸۶‏ الخاص بالمؤسسة يحتوى على مجموعة أكبر بكثير من 
النظم الأخرى كالتسويق والموارد البشرية؛ إذ يتم ربط جميع النظم معاً بإحكام من خلال 
توصيفات وروابط مشتركة للبيانات. 
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شكل توضيحي )0-10( 


مثال على بنية نظام تخطيط موارد المؤسسة 15:88 
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قد يتساءل المدير الأول عن سبب تأخير وصول معلومات شكاوى العملاء القادمة من 
نظام مرتجعات المنتجات. وقد يحتج أعضاء آخرون في الكادر الوظيفي من أنه يجب عليهم 
إعادة إدخال المعاملات نفسها في تطبيقات مختلفة ولكنها مترابطة. في أغلب الأحيان يبدو 
أن قاعدة البيانات المدمجة المشتركة - نظام 818:5 - هي الحل الأمهل هنا. من ناحية 
أخرىء فإن عملية تطبيق نظام E۸۶۴‏ ليس بالخطوة السهلة أو الصغيرة. حتى في أحسن 
الظروف فإن هذا النظام سيستهلك كميات كبيرة من وقت وموارد المؤسسة. كما يجب أن 
يكون هناك مشاركة فعالة من المديرين الرئيسيين وأعضاء فريق تقنية المعلومات وحتى 

أصحاب المصلحة الآخردن. 
من منظور حوكمة تقنية المعلومات فإنه يوجد نقاط رئيسية يجب أن يتم أخذها في 

الاعتبار عند تطبيق نظام قاعدة بيانات 888 في المؤسسة؛ وهي: 

٠‏ تحديد أهداف ومتطلبات نظام :E۸۴‏ يعتبر هذا المفهوم جديداً نسبياً في نظم تقنية 
امعلومات» إذ هناك الكثير من الدعاية ا منشورة حول ما يمكن أن تحققه قواعد البيانات 
الشاملة لنظام ES ES‏ فلا عن أنه بالاستناد إلى المعرفة التي لديهم 
فيما يمكن أن تحققه قواعد البيانات الشاملة لنظام تخطيط الموارد المؤسسية» يجب على 
ا مبادرين في المشروع وضع أهداف ومتطلبات قوية للمشروع الجديد الخاص بتطبيق 
نظام تخطيط الموارد المؤسسية 8187. 

٠‏ بناء فريق المشروع من جميع الإدارات: إن قاعدة البيانات الخاصة بتخطيط موارد 
المؤسسة تعد أكثر من مجرد نظام جديد في تقنية امعلومات» وإنما ينطوي تحته العديد 
من أعضاء المؤسسة. لذا يجب تعيين فريق من جميع الوظائف المختلفة لتقنية 
ا معلومات وأعضاء من مجتمع المستخدمين لقيادة المشروع القادم والخاص بتخطيط 
الموارد المؤسسية. 

٠‏ تقدير متطلبات التكلفة والوقت اللازمة لتطبيق نظام £5۸۴: بالنسبة للمؤسسة المكونة 
من وحدة أعمال واحدة فقط ويعمل بها ما بين ۲٢‏ إلى ٠٠٠١‏ موظفء قد تحتاج إلى 
حزمة أصغر من برمجية قاعدة بيانات E۸۴‏ ثكلف نحو ١6٠٠٠١‏ دولار أمريي. في 
حين أن المؤسسات الكبيرة المتعددة وحدات الأعمال ويعمل بها عدد من المستخدمين 
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قد يصل إلى 00٠٠١‏ مستخدم» رها يكلف البرنامج الأساسي لنظام 887 نحو مليوني 
دولار أمريكي. كما يجب على المؤسسة أن تضع توقعات حقيقية وواقعية ممتطلبات 
الوقت اللازم لهذا المستوى من المشروع: وأن يفترضوا أن مثل هذا ا مشروع الكبير لتقنية 
المعلومات يحتاج إلى سنة واحدة على الأقل. 

٠‏ اختيار أحد المنتجات البرمجية لنظام £۸۶: هناك عدد كبير من الباعة يقدمون برنامج 
نظام تخطيط الموارد المؤسسية 8188. فهناك مزودو برمجيات رئيسيون آمثال ساب 
S4۶‏ أوراكل 01816: وميكروسوفت 21170505. هذا بالإضافة إلى بعض الباعة الأقل 
شهرة مثل إيبيكور 101م8. ولتجنب سلسلة الاجتماعات أو اللقاءات اللانهائية مع 
البائعين والمواد الترويجية اللامعة. فإنه يجب على الفريق المنوط به عملية الاختيار 
الوقوف بحزم على الأهداف المحددة للمتطلبات واميزانية وعلى البيئة البرمجية الحالية 
للمؤسسة كذلك. ويتعين على أي بائع لمنتج برنامج E۸۴‏ قابل للتطبيق أن يكون قادراً 
على تقديم نسخة تجريبية تمثل منتج 818 الخاص بهم. 

٠‏ تطبيق أساليب منهجية لإدارة المشاريع لتطبيق نظام £۸۶: يتحدث الفصل السادس 
عشر من هذا الكتاب عن تقنيات التخطيط الرسمية للمشاريع والبرامج. ونظراً لأن 
تطبيق نظام ۸۶ يعتبر مهمة كبيرة» فإنه يجب على المؤسسة أن تضع وتتبع منهجيات 
رسمية لتخطيط المشاريع من أجل تطبيق نظام E۸۶۴‏ الذي نسعى إليه. 

٠‏ إنشاء قاعدة بيانات تجريبية لنظام 8118 والبدء في التنفيذ المرحلي: بمجرد أن يعمل 
تطبيق 888 في المؤسسة على أكمل وجه فإنه سيؤثر في عدد كبير من التطبيقات 
التقليدية. على كل حال» يجب الحرص على إطلاق التطبيق المرحلي على أساس تطبيق 
بعد الآخرء وذلك باستخدام قاعدة بيانات تجريبية أعدت في مراحل سابقة للمشروع. 

٠‏ تقديم تدريب مكثف للمستخدمين: قد ينطوي التطبيق الجديد لنظام 5۸۶ على أشكال 
جديدة للمعاملات وغيرها من التغيرات التي تطرأ على النظم والتي تكون في بعض 
الأحيان صغيرة لكنها فنية. وفي جزء من خطة المشروع وفي إحدى مسئوليات أعضاء 
فريق تطبيق نظام 8187 يجب أن يكون هناك برنامج تدريبي قوي للمستخدمين. 
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٠‏ إقرار ميزانيات المشرع ومراقبة حثيثة لتكاليف نظام 5۸۲: بعيداً عن رسوم الترخيص 
الخاصة بقاعدة البيانات التي تم اختيارهاء فإن مشروع نظام E۸۴‏ يعد من المشاريع 
الباهظة الثمن بالنسبة للمؤسسة. لذا يُطلب من أعضاء فريق المشروع وغيرهم من 
الأشخاص المشاركين في هَذة الحمل أن يقوموا بتسجيل عدد ساعات العمل الخاصة بهم 
فضلاً عن تحميل أي مصروفات مباشرة على مشروع نظام 888. ولابد من مراقبة هذه 
المصروفات التي يتم تحميلها على المشروع ويتم المطالبة بها عن كثب والمساءلة بشأنها 
إذا اقتضى الأمر. في جميع الأحوالء ولعل أحد نقاط القلق الرئيسية بالنسبة لحوكمة 
تقنية ال معلومات» والتي رها تكون بمثابة مشكلة في بعض الأحيان عندما يقوم أعضاء 
الفريق بتحميل ساعات عملهم على المشروع حتى لو مم يقوموا بالفعل بتنفيذ أنشطة 
مرتبطة مباشرة با مشروع. 

8۸۴ وضع إستراتيجية للخروج إذا اقتضت الضرورة ذلك: يمكن أن يسفر تطبيق نظام‎ ٠ 
الذي تم تخطيطه وتنفيذه بشكل جيد عن بعض ال مزايا الرئيسية الملموسة وغير ا لملموسة‎ 
بالنسبة للمؤسسة. إلا أنه في بعض الأحيان قد تكون هناك أمور تسير على نحو خاطئ.‎ 
على سبيل المثالء بعض سمات البرمجيات الخاصة ببائعي قاعدة بيانات 8872 قد لا‎ 
تعمل كما تم التعهد به أو كما كان متوقعاً. فقد يكون هناك مشاكل تقنية في شاشات‎ 
النظم أو أي مجموعة أخرى من المشالكل ال محتملة. فكما يقول التعبير القديم» لا تهدر‎ 
امال الصالح في إصلاح ما تلف» فإنه يجب على فريق العمل أن يضع إستراتيجية خروج‎ 
ليُنهي أعمال المشروع بشكل لطيف والعودة إلى العمليات التشغيلية التقليدية لتقنية‎ 
المعلومات والأعمال.‎ 
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شكل توضيحي (1-10) 


المزايا الملموسة وغير الملموسة الناتجة عن تطبيقات نظام 887 في المؤسسة. 


المزايا الملموسة لنظام :ERP‏ 


٠‏ تخفيضات ال مخزون. 

٠‏ تقليص أعداد الموظفين. 

٠‏ تحسينات في إدارة النظام. 

٠‏ تبسيط الروابط. 

٠‏ تحسينات في دورة الإقفال المالي. 

٠‏ تخفيض تكاليف تقنية ا معلومات. 

٠‏ تقليص تكلفة المشتريات. 

٠‏ تحسينات في الإدارة النقدية. 

٠‏ تقليل صيانة تقنية المعلومات والنظم. 
٠‏ نظم محسنة تسلم في الوقت المحدد. 
المزايا غير الملموسة لنظام 8127: 

٠‏ وصول ورؤية أكبر لمعلومات النظم. 

٠‏ عمليات محسنة جديدة. 

ة استجابات أكبر للعملاء. 

٠‏ توحيد النظم والعمليات. 


٠‏ تحسينات في سلسلة طلبات التوريد. 





بالرغم من التصريحات التحذيرية السابقة» فإن التطبيق الناجح لنظام 8187 قد يعود 
على المؤسسة ببعض الزايا الملموسة وغير الملموسة. كما هو موضح في الشكل التوضيحي 
(1-10). يمكن أن يكون تطبيق نظام 8128 أحد المشروعات الكبيرة في المؤسسة والذي يمكن 
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أن يعود عليها بالعديد من الفوائد. وكما ناقشنا أهمية العمليات القوية لحوكمة تقنية 
ا معلومات بالنسبة لكل من عمليات دورة حياة تطوير النظم 551.0 وعمليات التطوير 
السريع للتطبيقات ۸42 فإن هذه القضايا تعد غاية في الأهمية عندما نقوم بإطلاق نظام 
قاعدة بيانات تخطيط الموارد المؤسسية E۸۴‏ داخل المؤسسة. 
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على الرغم من استخدام المؤسسات للهياكل التنظيمية الرسمية من أجل إدارة معظم 
الأنشطة الخاصة بهاء فإن هناك مجموعة كبيرة من أنشطة المؤسسة التي يتم تنظيمها 
وإدارتها على شكل مشاريع. ويُستخدم مصطلح المشروع في الأنشطة العلميةء والحكومية, 
وحتى في الأنشطة المدرسيةء وهو عبارة عن نشاط تعاوني يتم داخل المؤسسة ويشتمل على 
نشاطات كالأبحاث أو تطوير نظم تقنية المعلومات. ويتم تخطيط المشاريع بشكل خاص 

من أجل تحقيق هدف معين على خلاف الأنشطة الاعتيادية للمؤسسة. وتعرف ال مشاريع 
عادة بأن لها هيكلاً تنظيمياً مؤقتاً وليس دائماً. وهي تتكون من فرق من داخل أو خارج 
الإدارات لإنجاز مهام محددة في أوقات محددة. 

يتم تنظيم وإدارة العديد من أعمال تطوير نظم تقنية المعلومات على هيئة مشاريع» 
فعندما تبدأ المؤسسة أو وحدة تقنية المعلومات التابعة لها في سلسلة من المشاريع المختلفة 
وي الوقت نفسه يوجد بينها أوجه تشابهء فإن هذه ا مجموعات من المشاريع يطلق عليها 
اسم برامج 25تهرع5:0. وفي أغلب الأحيان تعد المشاريع والبرامج وسائل فعالة لإدارة 
وتطبيق التغييرات التي تطرأ على نظم وعمليات تقنية المعلوماتء إلا أنها قد تتسبب أيضاً 
في وجود بعض اممشاكل المتعلقة بالحوكمة والرقابةء وذلك لكونها مجهودات تتخطى عادة 
الحدود التنظيمية الاعتياديةء فهي تحتاج إلى آليات خاصة ممتابعة وضبط المشاريع. 

سيتناول هذا الفصل التقنيات الفعالة لإدارة المشاريع والبرامج بهدف تحسين الحوكمة 
الشاملة لتقنية المعلومات. وسنقوم بتقديم المعايير الخاصة بالدليل المعرفي لإدارة ا مشاريع 
Project Management Book of Knowledge (PMBOK)‏ الصادرة عن معهد إدارة 
المشاريع Management Institute (PMI) (www.pmi.org)‏ ectزPro‏ كما سنناقش 
أيضاً لماذا يعد الامتثال لهذه ا معايير من الأمور الهامة بالنسبة للإدارة الفعالة للمشاريع 
والبرامج؟ 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات 0 


الفصل السادس عشر 


عملية إدارة المشاريع: 

يتم استخدام مصطلح ال مشروع غالباً على نحو غير سليم هذه الأيام في العديد من 
الات اة الخاصة فة الكلومات وكيرهاءهى الأعمال اللؤهسية: «فكثرا ما 
يُطلب من مطوري تطبيقات تقنية المعلومات أو غيرهم من الأشخاص العاملين في مجالات 
أخرى داخل المؤسسة أن يقوموا بإعداد مشروع لتنفيذ بعض الأعمال المحددة. وكان 
المقصود من الجهود الخاصة بإعداد مثل هذا المشروع والتخطيط له تخصيص أشياء 
مختلفة لأشخاص مختلفين. وتقتضي هذه الجهود غالبا قيام القائد المعين باستدعاء الفريق 
المكلف بالمشروع للاجتماع وعمل ما هو أكثر بقليل من مجرد قولء "أريدك أنت وأنت 
وآنت" لتنفيذ مهام المشروع المختلفة. وحم تكن الخطوات الضرورية اللازمة لتنظيم المشروع 
والتخطيط له تحظى بالاهتمام الكافي. ولهذا كانت هذه الجهود غير الرسمية "للمشروع" 
تؤول غالباً إلى الفشل بسبب عدم فهم الفريق المكلف بالمشروع لحقيقة الدور المنوط به 
وعدم إمامه بالأهداف العامة للمشروع هذا بالإضافة إلى أن المتطلبات الخاصة بوقت 
ونطاق اممشروع لم تكن محددة. وقد أدت هذه الجهود في كثير من الأحيان إلى فشل 
المشاريع بسبب تجاوز الوقت والليزانية أو للعديد من الأسباب الأخرى. كان سبب هذا 
الإخفاق غالباً هو الافتقار إلى نهج منظم ومتناغم لإدارة المشاريع. 

وقد استمرت إدارة المشاريع في كونها مجرد مفهوم تم تعريفه بشكل ضعيف وغير واضح 
حتى منتصف تسعينيات القرن الماضي. فعلى الرغم من وجود العديد من الأساليب الجيدة 
المعمول بها في ذلك الوقت في مشاريع البنية التحتية كبناء الجسور على الطرق السريعة: فإن 
تلك الحقبة قد شهدت العديد من الإخفاقات في تطوير نظم تقنية المعلومات. باستثناء بعض 
الأساليب التي كانت تقودها الولايات المتحدة الأمريكية لتحسين تلك المشاريع الخاصة بتطوير 
تقنية المعلومات. حيث م يكن هناك نهج ثابت لإدارة المشاريع على مدى عدة سنوات. إلا أن 
الأمور قد تغيرت عندما تم تايس معهد إدارة المشاريع ۴۸1 والذي بدأ بمجموعة صغيرة من 
لن اصن االأمريكين الذين ون عن ترف أك تاها مع أعمالهم. واعتباراً 
من عام ۰۱۲ ٠‏ أصبح معهد إدارة ا مشاريع 20111 منظمة مهنية دولية تضم في عضويتها نحو 
۰۰۰۰۰ شخص بين عضو ومدير مشاريع معتمد من قبل المعهد في 110 دولة. وقد قام معهد 
إدارة المشاريع 2211 ببحث وتطوير ونشر مجموعة كبيرة من المواد الإرشادية المتعلقة بإدارة 
وم ديل المسئول التنفيذي لحوكمة تقنية المعلومات 
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المشاريع. ومن أهم المطبوعات الصادرة عن هذا ا معهد الوثيقة الأشبه با معايير والتي أطلق 
عليها كتاب الدليل المعرفي لإدارة المشاريع 2218016 '" . وهو بمثابة دليل لجميع الجوانب 
الخاصة بإدارة المشاريع. وقد أصبح الدليل المعرفي لإدارة المشاريع 2218016 أحد المعايير 
المهنية للممارسات الخاصة بإدارة المشاريع في جميع أنحاء العام. 


يعرض الشكل التوضيحي (1-17) تعريف المشروع طبقاً للدليل المعرفي لإدارة ا مشاريع 
.MBOK‏ وعاى الرغم من أن هذا الدليل يتسم إلى حد ما بالإسهاب وربما يكون عاماً 
وشاملاً فقط للإرشادات المتعلقة بحوكمة تقنية ا معلومات» فإنه قام بتعريف المشروع على 
أنه جهد مؤقت له تاريخ بداية ونهاية معلوم وأهداف وغايات محددة. وتتخطى المشاريع 
غالباً الحدود التنظيمية الاعتيادية وتعمل بشكل منفصل نوعاً ماء أو خارج الإطار الطبيعي 
لإجراءات الإدارة أو المؤسسة. وقد يتم تخصيص فريق للمشروع مكون من أشخاص ينتمون 
إلى وحدات تنظيمية مختلفة في المؤسسة: ويتم تقديم التقارير على أساس الخط النقطي (نمط 
العلاقة الضعيفة بين الموظف ورئيسه) لمدير مشروع مستقل. في بعض الأحيانء قد يعمل 
فريق عمل المشروع بدوام جزني في المشروع مع استمرار تحملهم لمسؤولياتهم تجاه وظائفهم 
الاعتيادية. ونظراً لأن أنشطة امشروع تتخطى غالباً الحدود التنظيمية ويتم تشغيلها كأعمال 
منفصلة ومستقلةء ومن ثم قد تكون هناك مشاكل تتعلق بقضايا حوكمة تقنية المعلومات ما 
ثم تكن هناك معايير قوية ومتسقة معمول بها لإدارة المشاريع. 

إضافة للإرشادات الخاصة بالدليل المعرفي لإدارة المشاريع والتي تتحدث عن المشاريع 
المستقلة القائمة بذاتهاء فإن لدى معهد إدارة المشاريع 5311 أيضاً المزيد من المواد الإرشادية 
والتوجيهية الخاصة بإدارة البرامج والمحافظ. وسيتم الحديث عنها في الأقسام اللاحقة. 
حيث تشور إدارة البرامج بشكل عام إلى سلسلة من المشاريع ال مرتبطة ببعضها. في حين 
تشمل إدارة المحافظ معايير خاصة بمجموعة المشاريع والبرامج داخل المؤسسة. كما أن 
لدى معهد إدارة المشاريع ۶۷1 أيضاً برنامج الشهادة الاحترافية لمديري المشاريع» حيث يتم 
اعتماد الأعضاء الذين يجتازون الاختبارات المهنية لهذا البرنامج بنجاح ويحققون متطلبات 
الخبرة كمدير مشروعات محترف .Project Management Professional (PMP)‏ وقد 
أصبح معهد إدارة المشاريع 2311 والدليل ام معرف لإدارة المشاريع 2218016 الصادر عنه 
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من المعايير العملية بالنسبة للعديد من أنشطة إدارة المشاريع في المؤسسات سواء في 
الولايات المتحدة الأمريكية أم في جميع أنحاء العام. 
شكل توضيحي )۱-۱١(‏ 
تعريف المشروع وفقاً للدليل المعرفي لإدارة المشاريع 8218016 

المشروع هو مسعى مؤقت يتم القيام به من أجل تقديم منتج أو خدمة أو نتيجة فريدة من 
نوعها. تشير الطبيعة المؤقتة للمشاريع إلى وجود بداية ونهاية واضحة. ويتم الوصول إلى النهاية 
عندما تتحقق جميع أهداف ا مشروع أو عندما يتم إنهاء المشروع بسبب عدم إمكانية ت تحقيق أهداف 
المشروع أو عندما لا يعود هناك حاجة إلى المشروع. وليس بالضرورة أن تشير كلمة مؤقت إلى فترات 
زمنية قصيرة. وعموماً فإن كلمة مؤقت لا تنطبق على ال منتج أو الخدمة أو النتيجة التي حصلنا عليها 
من المشروع. ويتم القيام بمعظم المشاريع لخلق نتائج دائمة. على سبيل المثالء مشروع بناء تمثال 
أو نصب تذكاري وطني يؤدي إلى نتيجة من المتوقع أن تدوم لعدة قرون. وقد يكون للمشاريع أيضاً 
آثار اجتماعية واقتصادية وبيئية قد تدوم أكثر بكثير من المشاريع نفسها. 

كما أن كل مشروع يعمل على إيجاد منتج أو خدمة أو نتيجة فريدة من نوعها. وعلى الرغم من 
احتمالية وجود عناصر مكررة في بعض مخرجات المشاريع. فإن هذا التكرار لا يغير سمة التفرد الأساسية 
لعمل المشروع. على سبيل ال مثالء يتم تشييد المباني المكتبية من اللواد نفسها أو من مواد شبيهة وعن طريق 
الفريق نفسه. إلا أن كل موقع يختلف ويمتاز عن غيره في التصميم أو الظروف أو المقاولين أو غير ذلك. 

إن جهود العمل المستمرة بشكل عام عبارة عن عملية متكررةء ذلك لأنه يسير وفق إجراءات 
تنظيمية قائمة. وعاى النقيض من ذلك فإنه نظراً للطبيعة الفريدة للمشاريع» قد تحوم شكوكٌ 
حول المنتجات أو الخدمات أو النتائج التي يُوجِدُها المشروع. فقد تكون مهام المشروع جديدة 
بالنسبة لأعضاء فريق ا مشروع الأمر الذي يتطلب تخطيطاً أكثر تفانياً من غيرها من الأعمال الروتينية. 
بالإضافة إلى ذلكء فإنه يتم تنفيذ المشاريع على جميع المستويات التنظيمية. وقد يشمل المشروع 
شخصاً اا أو وحدة تنظيمية واحدة أو وحدات تنظيمية متعددة. 

يستطيع المشروع إيجاد: 

٠‏ منتج يمكن أن يكون أحد مكونات عنصر ما أو غنصراً نهائياً بحد ذاته. 

٠‏ القدرة على أداء خدمة (على أنها إحدى إدارات الأعمال التي تدعم الإنتاج أو التوزيع). 

٠‏ أو نتيجة مخرج أو وثيقة (على سبيل المثالء أحد المشاريع البحثية التي تُستخدم لتحديد ما إذا 
كان هناك توجه معين أو عملية جديدة سوف تفيد ا مجتمع 
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تقدم الأقسام التالية مقدمة عامة عن الدليل المعرفي لإدارة المشاريع 2018016 وأهميته 
باعتبارها أسلوباً أساسياً للتطوير وإدارة المشاريع. لسنا هنا بصدد تقديم وصف تفصيلي 
لمعايير الدليل المعرفي لإدارة المشاريع )۶180 بل تقدهها باعتبارها إحدى الأدوات 
الهامة لحوكمة تقنية المعلومات الخاصة بإدارة المشاريع في المؤسسة. عندما تقوم إدارة 
تقنية المعلومات في المؤسسة باستخدام تقنيات إدارة المشاريع لتطوير تطبيقات جديدة أو 
غيرها من عمليات النظم » فلابد أن يتم هذا التطوير باستخدام أحد الأساليب المعتمدة في 
إدارة المشاريع مثل 2218016 الخاص بمعهد إدارة المشاريع أو برنس۲ 2817101:2, وهو 
أيضاً أسلوب آخر هام جداً سنتحدث عنه في الأقسام اللاحقة. 


معايير الدليل المعرفي لإدارة المشاريع >22180[1: 

إن البحث بواسطة شبكة الإنترنت عن موضوع إدارة المشاريع سينتج عنه آلاف 
المواضيع التي تتناول جميع القضايا والاختلافات المتعلقة بإدارة المشاريع. أفضل تلك 
المراجع أو المواضيع الموجودة هذه الأيام هي التي تستند إلى الدليل المعرفي لإدارة المشاريع 
8016 الصادر عن معهد إدارة المشاريع 2211 والذي دتفا الأسلوب الفعلي 
والحقيقي الذي يصف جميع جوانب إدارة المشاريع. ونحن هنا بصدد تقديم نبذة عامة 
عن عمليات الدليل المعرفي لإدارة المشاريع )۴180 مع التركيز على أن يُعرف كيف مكن 
أن دكن هة ا الدليل فا لتعسين وزز وظائف حوكطة فة لمات هة 
الخاصة بإدارة المشاريع. 

لقد تم تحديث معايير الدليل المعرفي لإدارة المشاريع بشكل منتظم» بحيث كانت تعتمد 
كل مجموعة جديدة من المواد الإرشادية على الإصدارات السابقة. تم إطلاق الإصدار الرابع 
للدليل المعرفي لإدارة المشاريع في عام .۲٠٠۸‏ والذي يُعَرف إدارة المشاريع على أنها خمس 
مجموعات من العمليات الأساسية وتسعة مجالات معرفةء وهي تعتبر عناصر في جميع 
المشاريع تقريباً. ويمكن تطبيقها على المشاريع والبرامج والمحافظ وعمليات التشغيل. وقد 
أصبحت هذه المفاهيم بمثابة إطار عمل بالنسبة لإطلاق وتنفيذ المشاريع بفاعلية سواء 
كانت مشاريع تقنية معلومات أو غيرها. المجموعات الخمس من العمليات الأساسية لإدارة 
المشاريع وفقاً للدليل المعرفي لإدارة ا مشاريع 2218016 هي: 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات مع 


الفصل السادس عشر 


-١‏ البدء: لا بد من وجود عمليات رسمية معمول بها لإطلاق أي مشروع. وتتضمن هذه 
العمليات وصف أهداف المشروع والميزانية المتوقعة والموافقات المناسبة. ويعد ذلك 
أحد المطالب الهامة لحوكمة تقنية المعلومات. 

؟- التخطيط: كل مشروع بحاجة إلى تخطيط من حيث تقديرات الوقت والموارد المطلوبة 
بالإضافة إلى الروابط بين المكونات والمشاريع الأخرى التي تحتاج إلى تنسيق. عملية 
التخطيط للمشروع لها أهمية خاصة نظراً لأن معظم المشاريع يتم تنظيمها وبناؤها 
خارج الحدود التنظيمية» ويشكل لها فرق عمل مكونة من موارد متعددة من الموارد 
البشرية التي تعمل بدوام جزئي لبناء عناصر المشاريع. 

۴- التنفيذ: تحدد هذه المجموعة من العمليات الأساسية الخاصة بالدليل المعرفي لإدارة المشاريع 
النشاطات الفعلية للمشروع. أي ما الاحتياجات التي يجب الوفاء بها لتحقيق أهداف 
المشروع؟ من وجهة النظر الخاصة بتقنية المعلومات» فقد تمتد هذه النشاطات من البحث 
عن أدوات برمجية مناسبة إلى تفصيل برمجيات تتناسب مع متطلبات المستخدمين ومن ثم 
تنفيذ المشروع بعد إتمام عمليات اختبار الضوابط الداخلية المناسبة وتدريب المستخدمين. 


ع- التحكم: وهو أحد المكونات الهامة في الحوكمة الشاملة لأنشطة المشروع. إذ لا بد من 
وجود عمليات معتمدة ومعمول بها مراقبة إتمام العناصر الأساسية في المشروع والتي 
تعمل على تحديد ما إذا كانت الميزانيات والغايات قد تم تحقيقها أم لا. 

-٥‏ الإغلاق: تتطلب العملية الأخيرة إغلاق أعمال المشروع. ليأتي بعد ذلك تسليم مكونات 
المشروع وتلخيص نتائج المشروع وتقديم تقارير بها. وبالعودة إلى تعريفنا الرئيسي 
للمشروع: فإن العمل أو المسعى لا بد أن يكون له نهاية محددة يمكن أن يتم فيها 
تلخيص نتائج المشروع وأي خطوات تالية تم التخطيط لها للقيام بها مستقبلاً باستثناء 
الجهود المستقلة للمشروع. 
يقوم الدليل المعرفي لإدارة المشاريع 2218016 بتوفيق أو مقابلة كل من هذه العمليات 

الخمس لإدارة المشاريع مع تسعة مجالات معرفة لإدارة المشاريع من حيث مدخلاتها 

ومخرجاتها بالإضافة إلى الأدوات والأساليب. حيث تتضمن مدخلات المشروع الوثائق 
والخطط والموارد اللازمة لإطلاق المشروع مع المخرجات المخطط لهاء وبطبيعة الحال مواد 
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المشروع المكتمل. للانتقال من المدخلات الأولية للمشروع إلى المنتج النهائي الذي تم إنجازه. 
هناك حاجة ماسة بلمجموعة واسعة من الأدوات والآليات الضرورية. فمشروع بناء منزل 
علق شيل الال سكيم بحاجة إلى خشب وخطة ولوازم أخرى كالمسامير ومواد التسقيف 
كمدخلات للمشروع. وتعقز أيضا اللطرقة واكتقانومعرفة التجارة من الأذؤات القرورية 
للبدء في البناء. وستكون نتيجة المشروع في هذا المثال البسيط هي المنزل الذي اكتمل بناؤه. 


هناك ما هو أكثر تعقيداً بكثير من مجرد الحاجة إلى خشب أو مطرقة أو مسامير. فإطلاق 
العديد من مشاريع تنفيذ نظم تقفنة:المعلؤمات شطع فوا واف وضارما بالأهدافة: 
وخطة تفصيلية للمشروع» وخطط موارد» وخطط اختبار» والعديد من ال مواصفات التفصيلية 
الأخرى. كما يحتاج فريق تقنية المعلومات المخصص لبناء ا مشروع إلى فهم مجالات الاهتمام 
الخاصة بالمشروع؛ وأدوات كنظم الأجهزة ا محمولة لتنفيذ وبناء وإطلاق عناصر ومكونات 
المشروع وكذلك أخصائيين على معرفة ودراية كافية في تقنية المعلومات لبناء وفحص وتنفيذ 
الأعمال. من عدة ق نواح» فإن بناء هيكل منزل يقطنه شخص يعد مكروغاً 6 و 
تسبيا مقارنة بالعدِيد من الأعْمال الخاصة' بالتطبيقتات واليئية التحنية لتقنية اللعلومات 
فمعظم المشاريع التي يتم إطلاقها من قبل المؤسسات على اختلاف أنواعها تكون معقدة. 
وهذا التعقيد هو ما يضطرنا إلى اللجوء إلى معهد إدارة المشاريع 22/11 ومعايير أفضل 
الممارسات الموجودة في الدليل المعرفي لإدارة المشار 3 18016 الصادر عنه. فقبل ظهور 
هذه المعايير. كانت المؤسسات في أغلب الأحيان تقوم بإطلاق الأعمال الرئيسية للمشروع 
دون أن يكون هناك تحضير واستعداد كاف. وكانت النتائج في الغالب عبارة عن تكاليف 
باهظة وتجاوزات في الوقت بالإضافة إلى الإخفاقات حتى في إتمام المشاريع. وقد كان 
لدى العديد من المشاريع التي لا علاقة لها بتقنية المعلومات المشاكل المؤسسية نفسها. 
فجميعها تفتقر إلى الأساليب الشاملة والمتسقة في إدارة المشاريع. 

وقد عَرَفَ الدليل المعرفي لإدارة المشاريع 2318016 عملية إدارة المشاريع على أنها عملية 
تحدث بطريقة متناغمة وخاضعة للرقابة على نحو جيد. وبالإضافة إلى مجموعة عمليات 
إدارة المشاريع الخمس الأساسيةء فقد حدد الدليل المعرفي لإدارة المشاريع 2118016 تسعة 
مجالات معرفة خاصة بإدارة المشاريع هي: 
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-١‏ إدارة تكامل المشروع. 

۲- إدارة نطاق المشروع. 

۳- إدارة وقت المشروع. 

-٤‏ إدارة تكلفة ال مشروع. 

0- إدارة جودة المشروع. 

1- إدارة الموارد البشرية للمشروع. 

۷- إدارة اتصالات المشروع. 

8- إدارة مخاطر المشروع. 

-٩‏ إدارة مشتريات المشروع. 

ويصف الدليل المعرفي لإدارة المشاريع 1801 كلا من هذه المجالات المعرفية التسع 

بتفصيل معقول ومنطقي من حيث مدخلاتها وأدواتها ومخرجاتها. على سبيل المثال وصف 

مجال المعرفة الخاص بإدارة وقت المشروع في الدليل المعرفي لإدارة المشاريع 5218016 

يتضمن أقساما خاصة بالمدخلات والأدوات والمخرجات ل: 

٠‏ تحديد أنشطة المشروع: وهي عملية تعريف إجراءات محددة يتم تنفيذها لإنتاج 
الملاحق أو المخرجات الفعلية للمشروع. 

٠‏ تسلسل أنشطة المشروع الحساسة: لا بد من تحديد وتوثيق العلاقات الموجودة بين 
أنشطة المشروع. 

٠‏ تقدير الموارد الخاصة بالنشاط: يجب تقدير أنواع وإعداد الأشخاص وكميات المواد 
وا معدات واللوازم المطلوبة لإتمام الأنشطة المجدولة للمشروع. 

٠‏ تقدير الفترات الزمنية للنشاط: هناك ضرورة ملحة لتحليل تسلسل أنشطة المشروع 
والفترات الزمنية ومتطلبات موارد ووقت واحتياجات موارد المشروع: وذلك لجدولة 
أعمال ونشاطات المشروع. 
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٠‏ وضع الجدول الزمني للمشروع: إن خطة متابعة التقدم الذي يتم إحرازه تكون ضرورية 
مراقبة حالة المشاريع لتحديث الإنجازات الخاصة بها وإدارة أي تغيرات قد تطرأ على 
الجداول الزمنية الخاصة بها. 

هذه هي الخطوات الأساسية لإدارة الوقت بالنسبة لأي مشروع.؛ وهي تعد بالتأكيد 
الأنشطة الرئيسية التي ينبغي على وحدة تقنية المعلومات في المؤسسة أخذها بعين الاعتبار 

عند قيامها بالتخطيط بلتطلبات الوقت لأي مشروع من مشاريع تقنية المعلومات. 

بالإضافة للدليل الخاص بالإدارة العامةء فإن الدليل المعرفي لإدارة المشاريع ©52/1801) 
يحدد بشكل تفصيلي أدوات إدارة المشاريع وعملياتها اللازمة في كل مجال من من مجالات 
المعرفة التي أشرنا إليها. يلخص الشكل التوضيحي )١-17(‏ هذه العمليات وكذلك مجالات 
المعرفة الخاصة بالدليل المعرفي لإدارة المشاريع 5218016. لا يهدف هذا الفصل إلى 
تقديم نظرة تفصيلية عن جميع عمليات ومجالات المعرفة الخاصة بالدليل المعرفي لإدارة 
المشاريع ۴M 80K‏ إنما يهدف إلى التركيز على الدور الذي يلعبه الدليل المعرفي لإدارة 
ال مشاريع 2318016 في التخطيط والتنفيذ للعمليات الفعالة الخاصة بإدارة مشاريع تقنية 
المعلومات. إذ تستند الأرقام المرجعية في الشكل التوضيحي (5-17) إلى مواد الدليل 
المعرفي لإدارة المشاريع M80)‏ ولكن ما يهم هنا هو أن هذه الأرقام تؤكد الخطوات 
اللازمة لبناء مشاريع فعالة. على سبيل المثال. مجال ا معرفة رقم ۷ عبارة عن إدارة 
تكلفة المشروع» وهي خطوات ضرورية لأي عملية من عمليات المشروع ويوضح الشكل 
التوضيحي (1١-؟)‏ مجموعات العمليات الضروريةء وهي تقدير التكاليف وبناء الميزانية 

والتحكم في هذه التكاليف. 


أسلوب آخر لإدارة المشاريع: برنس۲ 2ءعصاءط: 

برنس۲ ۶۸10٤2‏ هو أحد الأساليب الأخرى لإدارة المشاريع والمعترف بها بشكل قوي. 
وهو أسلوب معتمد على العمليات ومرتبط أكثر بالمواد الإرشادية الخاصة بإطار العمل 
آيتل الذي تحدثنا عنه في الفصل السادس من هذا الكتاب. وقد تم إطلاق الإصدار الأول 
من معيار 28121015:2 في عام 1197 باعتباره طريقة أو منهجية عامة لإدارة المشاريع. 
وعلى الرغم من أنه لا يزال حتى الآن غير شائع الاستخدام في الولايات ا متحدة» فإن أسلوب 
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2 أصبح مالفا على نحو متزايد بل ويعد هذه الأيام بمثابة الأسلوب الفعلي 
لإدارة المشاريع في كل من المملكة المتحدة ودول الاتحاد الأوروبي. إن ۶۸1۸٣۴2‏ عبارة 
عن أسلوب معياري لإدارة المشاريع يعتمد على العمليات فهو قائم على مجموعة من 
المبادئ والعمليات المحددة لإدارة المشاريع. يصف الشكل التوضيحي (17-) عملية إدارة 
المشاريع وفقاً لمنهجية 8817101:2. 


ومقارنة بالدليل المعرفي لإدارة المشاريع )۴180 فإن منهجية 281210782 تعد أكثر 
توجهاً واعتماداً على حالة الأعمال من الدليل المعرفي لإدارة المشاريع .M80)‏ ومن خلال 
هذه المنهجية أيضاً فإن إدارة المشاريع تكون موجهة نحو قيام الإدارة العليا بها أكثر من أن 
يقوم بها فريق العمل المباشر. وتعد هذه المنهجية في كثير من النواحي أحد أفضل أدوات 
حوكمة تقنية المعلومات فيما يتعلق بإدارة المشاريع والإشراف عليها. ومع ذلك فإننا لا 
نهدف من خلال هذا الفصل إلى وصف كيفية تطبيق منهجية برنس ۲ 2212101:2 لإدارة 
المشاريع: ولكننا نهدف فقط إلى تسليط الضوء عليه باعتباره أداة بديلة عن الدليل المعرفي 
لإدارة المشاريع 2218016 للقيام بإدارة وضبط مشاريع تقنية المعلومات. وينبغي على 
فريق الإدارة الذي يساعد في وضع ومراجعة ضوابط حوكمة تقنية المعلومات الخاصة بإدارة 
المشاريع أن يُصر على ضرورة اتباع إدارة تقنية المعلومات لهذه المنهجيات الموضوعة فيما 
يتعلق بالتخطيط والإشراف على أنشطة المشاريع الخاصة بها. قد يستخدم العديد في هذه 
الأيام الدليل المعرفي لإدارة المشاريع 2318016 والذي يتسق مع الإدارة الفعالة لحوكمة 
تقنية المعلومات. على كل حالء إذا كانت إدارة تقنية المعلومات لم تقم بعد باعتماد 
الدليل المعرفي لإدارة المشاريع )۶180 فإن على الإدارة الأخذ بالنصيحة التي تحث 
تبني وحدة تقنية المعلومات لمعايير 581710182 نظراً لأنها تتوافق بشكل كبير مع 0 
ممارسات إطار العمل آيتل التي تناولناها في الفصل السادس من هذا الكتاب. 


محفظة نظم تقنية المعلومات وإدارة البرامج: 

يقوم مديرو المشاريع غالباً باستخدام مصطلح "برنامج" عندما يتحدثون عن عدة 
مشاريع. يكون البرنامج في العادة عبارة عن مشروع رفيع المستوى يُستخدم لإدارة سلسلة 
من المشاريع المترابطة والمتصلة بعضها ببعض. على سبيل المثالء قد ترغب المؤسسة في 
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تنفيذ مبادرة كبيرة إلى حد ماء فيتم تقسيمها إلى سلسلة من المشاريع المنفصلة. ويستطيع 
كل مشروع من هذه المشاريع العمل بشكل مستقلء غير أن هيكل البرنامج يقوم بإدارة 
جميع هذه المشاريع معا. ويستخدم هذا الفصل عموما مصطلح "مشروع" للدلالة على 
عمل أو جهد فردي» ومصطلح "برنامج" للدلالة على عدة مشاريع مترابطة فيما بينها. 
وهناك مصطلح آخر ألا وهو محفظة استثمارات تقنية المعلومات 06171 نا)۴0۲ 
49 والذي يشير عادة إلى المكان أو المستودع الخاص باستثمارات المشاريع 
القائمة. فعادة ما يتم تجميع عدة مشاريع مترابطة بعضها مع بعض في برامج ومحافظ 
مشاريع. 
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موجز مجموعات العمليات ومجالات المعرفة الخاصة بالدليل المعرفي لإدارة المشاريع 22118016 


)9-1١5( الشكل‎ 


الفصل السادس عشر 


قضايا حوكمة تقنية المعلومات: إدارة المشاريع والبرامج 


شكل توضيحي )7-١5(‏ 
عملية إدارة المشاريع وفقاً منهجية 51171012 





إدارة القيود 


إدارة الشركة / البرامج 


دليل المستول التنفيذي لحوكمة تقنية المعلومات 





الفصل السادس عشر 


يتكون برنامج إدارة المشاريع من سلسلة من المشاريع المترابطة التي تدار بطريقة 
متناسقة للحصول على المزايا والضوابط التي لا يمكن أن تكون متاحة في حال كانت هذه 
المشاريع تدار بشكل مستقل ومنفصلة بعضها عن بعض. حيث تتكون البرامج بشكل عام 
من عمل مترابط قد يكون خارج نطاق المشاريع المنفردة. 

تظهر الحاجة إلى إدارة البرنامج بشكل عام عندما يكون لدى المؤسسة هدف فردي 
محدد يمكن تحقيقه من خلال سلسلة من المشاريع المنفصلة. على سبيل ال مثال» خطة نقل 
منشأة صناعية إلى موقع جديد. تتطلب وجود سلسلة من المشاريع المنفصلة التي بحاجة 
إلى تنسيق. قد يتطلب أحد المشاريع هنا نقل وتركيب معدات الإنتاج؛ وقد يتطلب الآخر 
نقل المواد الخام» وسيبقى هناك مشروع آخر منفصل سيعمل على تغطية موضوع تحويلات 
نظم تقنية المعلومات. وعلى الرغم من أنه يجب أن يكون هناك شخص ما يكون مسؤولاً 
عن تنسيق جميع هذه الأعمالء فإن كل مشروع سيكون له احتياجاته ومتطلباته الخاصة. 
حيث سيتم إدارة هذه المشاريع بشكل منفصل ولكن بعد تجميعهم معاً كبرنامج واحد. 

ينبغي على حوكمة تقنية المعلومات النظر إلى متطلبات المشاريع المترابطة والخاصة 
بتدقيق تقنية المعلومات على أنها برنامج. على سبيل المثالء قد يُطلب من المؤسسة مراجعة 
الضوابط الداخلية في مجموعة من المنشآت وفقاً لقانون :50 البند .٤٠٠٤‏ حتى وإن كان 
كل مشروع من هذه المشاريع المستقلة سيتم تنفيذه على أنواع مختلفة من المرافق وفي 
مناطق جغرافية مختلفة وتحت مسئولية فرق مختلفة في إدارة تقنية المعلومات؛ فإن كل 
مشروع من هذه المشاريع سيكون له الأهداف العالية المستوى نفسهاء وقد يكون أحد كبار 
المديرين هو المسئول عن إتمام كل واحد من هذه المشاريع بشكل كلي. حيث يمكن تنظيم 
وإدارة هذه المجموعات من المشاريع في برنامج» مع قيام كل مدير من مديري المشاريع 
المستقلة بإعداد وإرسال التقارير إلى مدير البرنامج من أجل تحقيق الامتثال العام لكامل 
العقل: 


وبالانتقال من مستوى إلى آخر أعلى» حيث مصطلح إدارة المحافظ الذي يشير إلى 
مجموعات من المشاريع والبرامج والأعمال الأخرى التي يتم تجميعها معا لتسهيل إدارتها 
على نحو فعال. في حال وجود مجموعات مستقلة لتقنية المعلومات في إدارتين داخل إحدى 
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الشركات» وربما تكون واحدة من هذه المجموعات مسؤولة عن العمليات التشغيلية للبنية 
التحتية لتقنية المعلومات في دول الاتحاد الأوروبيء في حين أن الأخرى مسؤولة عن ذلك 
في الولايات المتحدة الأمريكية وكندا. في هذه الحالة يمكن اعتبار الأنشطة الشاملة لتقنية 
المعلومات لكل وحدة من الوحدات عبارة عن حافظة (محفظة) لإدارة تقنية المعلومات» 
غت يكن إذزاج كل متها دحت مخفطة 3|ت:مستتوى أل ف المقو الرضي للشركة: 
إن هذه المفاهيم التي تتعلق بإدارة كل من المشاريع والبرامج والمحافظ موضحة بالشكل 
التوضيحي (6-17). الفكرة هي أن تلك العلاقات الواردة بالشكل يجب إنشاؤها إذا اقتضت 
الحاجة وذلك لتعزيز الكفاءة وتحقيق 


شكل توضيحي (6-15) 


الأهداف العامة. 


نظرة عامة على إدارة المشاريع والبرامج والمحافظ. 


المشاريع لها أهداف محددة. 
سيتضح النطاق زيجي 
خلال دورة حياة المشروع. 


يتوقع مديرو المشاريع التغيير 
ولذا يقومون بتنفيذ عمليات 
لإدارة التغيير والتحكم فيه. 


مديرو المشاريع بحاجة إلى 
التخطيط للتطور التدريجي 
من تخطيط عالي المستوى 
إلى تخطيط تفصيلي خلال 
دورة حياة المشروع. 

يدير مديرو ال مشاريع فريق 
المشروع لتحقيق أهداف 
امشروع. 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


البرامج لها نطاقات أكبر 
وتقدم مزايا أعظم. 


يجب على مديري البرامج 
أن يتوقعوا التغيير سواء من 
داخل أو خارج البرنامج وأن 
يعدوا لإدارته. 

يضع مديرو البرامج الخطة 
الشاملة للبرنامج ويضعون 
خططا عالية المستوى 
لتوجيه التخطيط التفصيلي 
على مستوى العنصر. 
يدير مديرو البرامج 
فريق البرنامج ومديري 
المشاريع. فهم يقدمون 
الرؤية وتكون لهم ملكية 
البرنامج بالكامل 


أعضاء 


المحافظ لها نطاق أعمال يتغير 
بتغير الأهداف الإستراتيجية 
للمؤسسة. 
يراقب مديرو ال محافظ 
باستمرار التغيرات في البيئة 
الواسعة. 


يقوم مديرو المحافظ بإنشاء 
العمليات والاتصالات 
الضرورية ذات الصلة 

با محفظة الإجمالية والإبقاء 
عليها. 

قد يدير مديرو المحافظ 
وينسقون أعضاء فريق إدارة 
ا محفظة. 





00 


الفصل السادس عشر 


يقاس النجاح بجودة المنتج 
والمشروع وبالفترات الزمنية 
والالتزام بالميزانية ومستوى 
رضا العملاء. 

يقوم مديرو المشاريع هراقبة 
وضبط عمليات تقديم 
المنتجات والخدمات والنتائج 


يقاس النجاح بالدرجة التي 
عندها يتم تحقيق البرنامج 
للاحتياجات والمزايا التي من 
أجلها تم وضع البرنامج. 

يراقب مديرو البرنامج التقدم 
التدريجي لكونات البرنامج 
لضمان الالتزام بكل من 


يقاس النجاح من حيث الأداء 


الكلي التجميعي لمكونات 
المحفظة. 


يراقب مديرو المحافظ مؤشرات 
الأداء والقيمة التجميعية. 


الأهداف العامة والجداول 
الزمنية والميزانية وتحقيق 
المزايا المرجوة. 


التي أقر المشروع من أجلها. 





بالإضافة إلى مراجعة وإدارة المشاريع والمحافظ الفردية لتقنية المعلومات. فإن الدليل 
ا موضح في الشكل التوضيحي (6-17) مفيد لإدارة تقنية ا معلومات» حيث يوجد عدة 
مشاريع متشابهة لتدقيق تقنية المعلومات» والتي هكن إدارتها كبرنامج أو اعتبارها جزءاً 
من محفظة مشاريع. الفكرة العامة هي أنه لا بد من أن يكون هناك تفاعل قوي بين 
البرامج أو المحافظ ومشاريعهم المستقلة أو التابعة » غير أن إدارة البرنامج لا تستطيع في 
الغالب أن توجه أو تماي شروطها على أنشطة المشاريع الفردية» كما أن المشاريع الفردية 
سوف تساعد في تحديد البنية العامة للبرامج الداعمة. فالتشابه بين سلسلة عمليات 
التدقيق المستقلة لتقنية المعلومات وبين الإدارة العامة للتدقيق يكون قوياً للغاية. 

إن العديد من إدارات تقنية المعلومات هذه الأيام محمّلة بالعديد من البرامج والمشاريع. 
حيث نجد أن بعض هذه المبادرات منظم على نحو جيد في حين يفتقر البعض الآخر للترابط 
الجيد حتى إنها تبدو عشوائية. وكأحد العناصر الهامة في حوكمة تقنية المعلومات» يجب 
أن يكون هناك أعمال ومجهودات جارية ومستمرة لجعل إدارة تلك المبادرات الإستراتيجية 
الخاصة با مشاريع أبسط وأكثر فاعلية. أما فيما يخص الحلول التي تقدمها حوكمة تقنية 
ا معلومات في هذا الصدد فهو بناء أساس قوي لإدارة محافظ المشاريع. إن إدارة احتياجات 
المشاريع ومواردها وميزانياتها على نحو فعال تعد ممثابة المفتاح الرئيسي لتقديم مبادرات 
تتعلق بحوكمة تقنية معلومات والتي تعمل على قيادة الشركة إلى الأمام وتصبح المسار 
الصحيح الذي يساعد المؤسسة على تحقيق أهدافها. 


6 دليل المستول التنفيذي لحوكمة تقنية ا معلومات 


قضايا حوكمة تقنية المعلومات: إدارة المشاريع والبرامج 


مكتب إدارة البرامج (310©). أحد الموارد القوية للحوكمة: 

كما تحدثنا سابقاً فإن البرنامج عبارة عن مشروع ذي مستوى أعلى يعمل ليكون أداة 
للإدارة والإشراف على مشاريع أخرىء وهي المشاريع الفرعية. وقد بدأ ظهور هذا المفهوم 
في مجال تقنية المعلومات خلال سنوات استهلكت فيها أقسام تقنية المعلومات طاقاتها 
من أجل تسليم مشاريع مطلوبة في الوقت المحدد وفي حدود الميزانيات المخصصة. وقد 
كان الحل هو ضبط المشاريع بإحكام من خلال تأسيس ما يعرف بمكاتب إدارة البرامج 
Program Management Offces (PMO)‏ باعتبارها وسيلة لتعزيز كفاءة تقنية 
امعلومات وخفض التكاليف وتحسين أداء ا مشاريع من حيث الالتزام بالوقت واطيزانية. 
فما تم فعله لمشاريع تقنية المعلومات يمكن عمله تماماً على نحو جيد للمشاريع الأخرى 
في المؤسسة. 

قد يقدم مكتب إدارة البرامج 2810 المعايير أو سلطة الموافقة على جميع المشاريع 
أو حتى مهارات إدارة المشاريع وذلك من خلال كادر مكون من مجموعة من المحترفين 
المعتمدين في إدارة المشاريع. حيث تستطيع الوحدة الخاصة بمكتب إدارة البرامج 51/10 
غرس الانضباط في إدارة المشاريع الذي تشتد الحاجة إليه في أقسام تقنية المعلومات وجميع 
المجموعات الأخرى المشاركة في إدارة المشاريع. كما مكن ممكتب إدارة البرامج 52110 
المساعدة من خلال تقديم البنية اللازمة لتوحيد ممارسات إدارة المشاريع وتسهيل إدارة 
محافظ المشاريع بالإضافة إلى تحديد منهجيات لعمليات متكررة. ويعد قانون :50 - 
الذي يطالب الشركات بالإفصاح عن الاستثمارات» كالمشاريع الضخمة: التي قد تؤثر في 
الأداء التشغيلي للشركة - أحد العوامل المحفزة في هذا الصدد. فقد أجبر الشركات على عمل 
مراقبة حثيثة على نفقات المشروع ومدى تقدمه. 

هناك نموذجان أساسيان لمكاتب إدارة البرامج 22105: أحدهما يعمل بصفة استشارية 
حيث يزود مديري المشاريع في وحدات الأعمال بالتدريبات والإرشادات» وأفضل الممارسات. 
أما النموذج الآخر فيعمل على أنه مركز به مجموعة من مديري المشاريع يتم إعارتهم 
إلى وحدات الأعمال للعمل بصفةمديري مشاريع. إن الكيفية التي يتم بها تنظيم وإدارة 
مكتب إدارة البرامج (2810) وتعيين الكوادر المؤهلة للعمل فيه تعتمد على عدد كبير 
من العوامل التنظيمية» من ذلك الغايات المستهدفة: ونقاط القوة التقليدية» والدوافع 
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الفصل السادس عشر 


الثقافية. فبتبني فكرة وجود مكتب لإدارة البرامج (0210) ما يتماثى مع ثقافة إدارة 

تقنية المعلومات» يمكن لمكتب إدارة البرامج 2310 أن يساعد المؤسسة في القيام بالمشاريع 

الإستراتيجية التي رضي كلا من المستخدمين الداخليين والخارجيين. ومع مرور الوقت» 

يجب أن يكون مكتب إدارة البرامج 2310 قادرا على تزويد المؤسسة بالفوائض ال مالية من 

خلال تفعيل إدارة أفضل للموارد وتقليص فشل المشاريع ودعم تلك المشاريع التي تعود 

على المؤسسة بفائدة أكبر. 

تكون مكاتب إدارة البرامج 22105 عادة عبارة عن وحدات إدارية لدعم إدارة تقنية 
امعلومات» وقد تختلف هذه المكاتب من حيث أحجامها وبنيتها ومسؤولياتها. فهي تقدم 
إرشادات في إدارة المشاريع ممديري المشاريع في وحدات الأعمال وتعمل غالبا في مجالات 

الدعم التالية: 

٠‏ عملية / منهجية لإدارة المشاريع: سواء كانت وحدة تقنية المعلومات في المؤسسة تستخدم 
الدليل المعرفي لإدارة المشاريع 2218016 أو برنس۲ ٥۸1٥۴2‏ فبإمكان مكتب إدارة 
البرامج ۴10 أن يقدم الإرشادات لتطوير وتنفيذ عمليات متناغمة وقياسية لإدارة المشاريع. 

٠‏ التدريب على إدارة المشاريع: وتعتبر هذه النقطة من المجالات الفعالة. حيث بإمكان 
مكتب إدارة البرامج PMO‏ أن يقوم بعقد برامج تدريبية تتعلق بالمشاريع أو جمع 
متطلبات التدريب لكي تقوم بها شركة تدريب خارجية. 

٠‏ مقرلمديري المشاريع: ها أن مكتب إدارة البرامج ۶10 يعتبر بمثابة مصدر مركزي 
للمعرفة والدعم اللازمين لإدارة المشاريع» فبإمكانه الإبقاء على مكتب مركزي حيث يتم 
منه إعارة مديري المشاريع للخارج عند انتهاء المشروع الممعين عليه. 

٠‏ الاستشارات والتوجيهات الداخلية: بهدف تشجيع التميز في إدارة المشاريع» يستطيع 
مكتب إدارة البرامج 2310 أن يقدم النصح للموظفين الآخرين فيما يتعلق بأفضل 
الممارسات مع التركيز على الدليل المعرفي لإدارة المشاريع )80 .M‏ 

٠‏ الأدوات البرمجية لإدارة المشاريع: يمكن اختيار الأدوات البرمجية المخصصة لإدارة المشاريع 
وصيانتها لكي تستخدم من قبل جميع المشاركين في المشاريع. حيث يوجد العديد من المواد 
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قضايا حوكمة تقنية المعلومات: إدارة المشاريع والبرامج 


البرمجية المتاحة لدعم أنشطة إدارة المشاريع. كما يمكن أن يعمل مكتب إدارة البرامج 
0 مثابة مركز لتبادل المعلومات فيما يتعلق باستخدام تلك الأدوات البرمجية. 

٠‏ إدارة المحفظة: وضع فريق مكون من مديري المشاريع قادر على إدارة عدة مشاريع 
مترابطة مثل المشاريع الخاصة بتقنيات البنية التحتيةء ومشاريع التطبيقات المكتبية 
وغيرها من المشاريع؛ وتخصيص الموارد وفقاً لذلك. 

رها توجد أساليب مختلفة لدى المنظمة للقيام بإدارة الوحدة الخاصة بمكتب إدارة 
البرامج 5210. لكن الطريقة المركزية التي تمتاز با ممارسة العملية على التحكم في 
المشاريع تكون غالبا أكثر فاعلية في المنظمات التي يتعامل فيها مكتب إدارة البرامج 

0 بشكل نظامي مع كبار المديرين التنفيذيين ولديه كامل الصلاحية بإلغاء مشاريع 

أو وضع أولويات لها. فمن خلال استخدام منهجيات واضحة ال معام لإدارة المشاريع» فإن 

مكتب إدارة البرامج يمكنه غالباً العمل مع وحدات الأعمال في كل جاتب من جوانب 
إدارة المشاريع ابتداءً من تحديد المتطلبات الرئيسية إلى المرحلة الخاصة بإجراء عمليات 
التدقيق التي تلي عملية التنفيذ. إن الإبقاء على عمليات متناغمة عبر المنظمة من شأنه 
أن يكن المنظمة من القيام بتجزئة المشاريع إلى مكونات أصغر هكن إدارتها ومن ثم 

التقليل من الفشل. 

تمتد مسؤوليات مكاتب إدارة البرامج 23105 بشكل واسع من توفير مركز لتبادل 
المعلومات المتعلقة بأفضل ممارسات إدارة المشاريع إلى إجراء المراجعات الرسمية لإدارة 
المحافظ. وليس من الضروري أن يقت صر إشراف مكتب إدارة البرامج فقط على تطوير 
المشاريع بل قد تشمل التنسيق وتتبع كلاً من المشاريع والخدمات. لذا يعد إنشاء مكتب 
لإدارة البرامج 2310 للعمل في أي منظمة بمثابة تدريب على التكيّف وقوة التحمل. فعندما 
يتعلق الأمر بإنشاء مكتب لإدارة البرامج ۶10 فإن هناك عدداً محدوداً من خرائط الطرق 
التي يمكن اتباعهاء أو المعايير القياسية التي يسارع بتبنيهاء أو المقاييس التي يمكن القياس 
على أساسها. إن أكثر مكاتب إدارة البرامج 22105 فاعلية هي تلك التي تجني التحسينات 

مع مرور الوقت وتدفع المنظمة دائماً إلى تحسين أدائها. 
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الفصل السادس عشر 


إدارة المشاريع ومكتب إدارة البرامج (210) وحوكمة تقنية المعلومات: 

تقوم المؤسسات ببناء وتأسيس مبادرات تقنية المعلومات وغيرها من المبادرات الرئيسية 
الخاصة بها من خلال المشاريع. وكما ذكرناء فإن المشاريع وإدارة المشاريع الخاصة بتقنية 
المعلومات تعمل غالبا خارج الحدود التنظيمية للمنظمة. فمبادرة تنفيذ نظام جديد 
لحساب تكاليف الإنتاج مشلا قد تحتاج إلى موارد من نظم وبرامج تقنية المعلومات» 
بالإضافة لأشخاص من إدارة الحسابات ووحدات الإنتاج المختلفة. فعندما تكون هذه 
الجهود خاضعة لإشراف مدير المشروع المعين» هكن الحصول على الموارد واتخاذ الخطوات 
اللازمة لتنفيذ نظام حساب تكاليف الإنتاج المطلوب. 

إن الاستخدام الفعال لمبادئ إدارة المشاريع يعد أحد العناصر الهامة في الحوكمة الفعالة 
لتقنية المعلومات. لذا يجب على إدارة تقنية المعلومات أن تتبنى منهجية لإدارة المشاريع 
مثل الدليل المعرفي لإدارة المشاريع 5818016 مثلاً. والأهم من ذلك هو وجود ما يثبت 
أن جميع المشاريع القائمة حالياً تستخدم هذا الأسلوب» وأنها تمتلك أساليب فعالة معمولاً 
بها في تخطيط المشاريع» هذا بالإضافة إلى وجود مثل تلك الوثائق التي يعلن فيها صراحة 
عن أهداف المشروع وخطط ضمان الجودة الموضوعة موضع التنفيذ. كما يجب أن يكون 
هناك دليل على وجود عمليات منهجية معمول بها لإدارة مشاريع تقنية المعلومات. 

إذا كانت إدارة تقنية المعلومات تقوم باستخدام عمليات المشروع لبناء وإدارة العديد من 
أنشطته» وإذا كان هناك عدد كبير من المشاريع المترابطة» فعلى إدارة تقنية المعلومات أن تقوم 
بتأسيس مجموعة فعالة من العمليات الخاصة بمكتب إدارة البرامج 58108. حيث تعد عملية 
إدارة البرامج أحد العمليات الهامة متى كان هناك عدد كبير من عمليات المشاريع المستخدمة 
في بناء وتنفيذ مشاريع وعمليات تقنية المعلومات. إن العمليات الفعالة في إدارة مشاريع تقنية 
المعلومات سوف تسهم في تحسين العمليات الشاملة في حوكمة تقنية المعلومات. 


ملاحظة: 
Project Management Institute, A Guide to the Project Management Book‏ -1 
of Knowledge (PMBOK Guide), 4th ed. (Newtown Square, PA: 2008).‏ 
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الفصل السابع عشر 
اتفاقيات مستوى الخدمات (5145) ومنتدى إدارة خدمات 
تقنية المعلومات (1450311) وقيمة تقنية المعلومات (170111) 
وتعظيم استثمارات تقنية المعلومات 


منذ سنوات عديدة: تم تركيب نظم الحاسبات المركزية الأولى ٠4۳إ۴"ة۸‏ في معظم 
الشركات الكبيرة. وكان ذلك بهدف تسيير العمليات التشغيلية والتقليل من التكاليف» وقد 
كان عبان بهدف إعطاء السمعة أو المكانة للشركات. وقد كان ذلك في الأيام الأولى عندما 
كانت تلك النظم المركزية الباهظة الثمن توضع في أغلب الأحيان في غرف زجاجية محكمة 
الإغلاق في أروقة داخل الشركات» وكان هناك توقعات كبيرة حول الفوائض التي ستعود 
ل الأغمال جراة هذه الثقنية الجديذة. 'لكن مرعان ما ها خد امل كه ونظرا 
للمخاوف المتعلقة موضوع الأمان والمساحة» فسرعان ما تم نقل تلك الأجهزة المركزية 
ومجموعة محركات الأشرطة والوحدات التخزينية المتزايدة الخاصة بها إلى مواقع بعيدة 
تابعة للشركة. والأهم من ذلك كانت المدخرات الاستثمارية العائدة بطيئة نظراً للتكلفة 
الخاصة بتوظيف وبناء كادر من المتخصصين العاملين في تقنية المعلومات» وكذلك بسبب 
حالات التأمين.والتكاليف اللضاحية للد من 'مقروعات تطويرتقنية اللعلوهات: .وأيهاً 
بسبب البرامج التطبيقية التي مم تكن تعمل بالشكل الجيد كما هو متوقع. وسرعان ما 
أدركت اممؤسسات أن هناك حاجة ماسة بلراجعة استثماراتها في مجال تقنية ا لمعلومات 
الخاصة بها على جميع امستويات ومحاولة تحقيق المزيد من الفوائد الناتجة عنها. 

يستعرض هذا الفصل القضايا والمخاوف المتعلقة بحوكمة تقنية المعلومات من عدة وجهات 
نظر فيما يتعلق باستثمارات اللؤسسة في موارد تقنية المعلومات. وسوف نبدا الحديث أولاٌ 
عن أهمية وضع اتفاقيات مستوى الخدمات 514١‏ وإدارتها على نحو فعال على أنها جزء من 
عمليات تشغيل تقنية المعلومات الخاصة بالمؤسسة. حيث تعد اتفاقيات مستوى الخدمة 
6ئ والإرشادات الخاصة بإدارة الخدمات المرتبط بها واحدة من أفضل الممارسات الخاصة 
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الفصل السابع عشر 


بإطار العمل آيتل التي تم تقديمها للمرة الأولى في الفصل السادس من هذا الكتاب. وهي عبارة 
عن مجموعة من التفاهمات أو العقود الداخلية بين مستخدمي خدمات تقنية المعلومات 
وإدارة تقنية المعلومات. فهي تصف الخدمات التي ستقدمها وحدة تقنية المعلومات للإدارات 
المختلفة للمستخدمين وتشمل الملفات والتقارير ال محدثةء إضافة إلى تسليم الملفات والوثائق 
ا محددة في الوقت المناسب. كما سنؤكد أهمية اتفاقيات مستوى الخدمة 5145 على أنها إحدى 
الأدوات الهامة لحوكمة تقنية ا معلومات وسنتحدث أيضاً عن كيفية تطبيق هذه الاتفاقيات في 
المؤسسة وحصد المزايا والفوائد الناتجة عنها على نحو أكثر فاعلية. 

المنتدى الذي يمكن اعتباره مرتبطاً ارتباطاً وثيقاً بإطار العمل آيتل لكنه مستقل عنه. هو 
منتدى إدارة خدمات تقنية المعلومات „IT Service Management Forum (itSMF)‏ 
وهو عبارة عن منظمة ذات عضوية مهنية مستقلة قامت بتعزيز وترويج العمليات الخاصة 
بإدارة خدمات تقنية المعلومات ونشرت بعض الإرشادات التي لها علاقة بهذه المجالات. 
فمن خلال الفروع المحلية في العديد من المدن الرئيسية ومع الاهتمام القوي والمتزايد 
بقضايا حوكمة تقنية المعلومات. فإن منتدى إدارة خدمات تقنية المعلومات 1051/11 هو 
المنظمة التي رها يهتم بها محترفو الإدارة لمزيد من البحث والاستكشاف. سيقدم هذا 
الفصل هذه المجموعة الاحترافية ويسلط الضوء على بعض نقاط القوة المتعلقة بحوكمة 
تقنية المعلومات الخاصة بها. 

سيقدم هذا الفصل أيضاً بشكل موجز ما يُعرف بالمجموعة المفتوحة للامتثال والأخلاقيات 
Open Compاiance and Ethics Group (OCEG)‏ ومعايير الحوكمة وإدارة ا مخاطر 
والامتثال G۸٤‏ الخاصة بها. 

كما سيقدم هذا الفصل أيضاً بتعض التفاصيل الإضافية عن معايير الحوكمة الخاصة 
بهذه المجموعة مع التركيز على "الكتاب الأحمر" الخاص بهذه المجموعة. ومن ايلؤكد 
أننا سنلاحظ التركيز المتزايد على المعايير الخاصة با مجموعة المفتوحة للامتثال والأخلاقيات 
© باعتبارها أدوات تستخدم لتحسين حوكمة تقنية المعلومات في السنوات القادمة. 
وسيناقش هذا الفصل بعض اللمعايير والأدوات التي صدرت عن منتدى إدارة خدمات تقنية 
المعلومات لتحسين كل من حوكمة تقنية المعلومات ومخاطر الأعمال والاحتيال. 
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اتفاقيات مستوى الخدمات (51,45) 


قامت جمعية تدقيق وضبط نظم المعلومات (15408) التي تم تقدهها في فصول 
سابقة بتطوير وإصدار مجموعة من المواد الإرشادية التي أطلق عليها مصطلح قيمة تقنية 
المعلومات 7/8117 التي تهدف إلى فهم وتقييم الاستثمارات التي خصصتها المؤسسة لموارد 
تقنية المعلومات لديها على نحو أفضل. كما سيقوم هذا الفصل بتقديم نموذج قيمة تقنية 
المعلومات 7/2117 وسيوضح لماذا يعد هذا النموذج واحداً من المفاهيم الهامة التي من 
الممكن أن تساعد الإدارة العامة وإدارات تقنية المعلومات التابعة لها في العمل سوياً على نحو 
أفضل بهدف تحقيق قيمة أكبر من عمليات تقنية المعلومات الخاصة بهم. 

سيُختتم هذا الفصل ببعض الإرشادات العامة بالنسبة للمؤسسة فيما يتعلق بقياس 
وتحقيق القيمة المكتسبة من استثمارات تقنية المعلومات الخاصة بها. إننا مع مرور 
الوقت أصبحنا أكثر ذكاءً. وذلك عندما تلاشت كل كبير نظم الحاسبات المركزية الضخمة 
وال مكلفة. وأصبحنا الآن نقوم وفي فترات زمنية صغيرة بتجميع التطبيقات الجديدة من 
قائمة الخيارات ا موجودة في نظام قائم على السحابة بدلاً من بناء تلك التطبيقات داخلياً من 
قبل طاقم التطوير الموجود في المؤسسة. ومع ذلك فإن المؤسسة بحاجة إلى معرفة تكاليف 
تلك النظم واتخاذ التدابير والإجراءات المناسبة لتحقيق أكبر قيمة ممكنة. ويعد ذلك من 
العناصر الهامة في حوكمة تقنية المعلومات. 

أفضل ممارسات إدارة الخدمات طبقاً لإطار آيتل ومنتدى إدارة خدمات تقنية 
المعلومات (1715215): 

سبق الحديث في الفصل السادس من هذا الكتاب عن مكتبة البنية التحتية لتقنية 
المعلومات آيتل (1111) وعن معايير أفضل الممارسات الخاصة بهاء وذلك فيما يتعلق بدعم 
وتقديم خدمات تقنية المعلومات. فهي تقوم بتوفير الإرشادات والدعم الفعال لكل من إدارة 
تقنية المعلومات في المؤسسة والعديد من المجالات المتعلقة بحوكمة تقنية ا معلومات» فعمليات 
مكتبة البنية التحتية لتقنية المعلومات آيتل تغطي مجالات أكثر توافقاً مع عملية التشغيل التي 
تتسم بالسلاسة للبنية التحتية الشاملة لتقنية المعلومات. وعلى الرغم من إلقاء الضوء عليها 
مع العمليات الأخرى لأفضل الممارسات في الفصل السادس من هذا الكتاب» فإن فهم وتطبيق 
أفضل ممارسات إدارة مستوى الخدمات في آيتل يعد ارا في غاية الأهمية خصوفا هذه الأيام. 
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الفصل السابع عشر 


إن إدارة مستوى الخدمة ]122281262 [eveا Service‏ هو الاسم اظ لعملية 
التخطيط والتنسيقء والصياغة» والاتفاق» والرقابةء وإعداد التقارير فيما يخص الاتفاق 
الرسمي بين كل من إدارة تقنية المعلومات في المؤسسة ومقدمي ومتلقي خدمات تقنية 
المعلومات. وتأخذ هذه العمليات الصفة الرسمية من خلال إبرام اتفاقيات مستوى 
الخدمات ء814 بين تقنية المعلومات والعملاء أو المستخدمين للتطبيقات والعمليات 
والخدمات الأخرى الخاصة بتقنية المعلومات. أي أن هذه الاتفاقيات تمثل الاتفاق الرسمي 
بين مقدمي خدمات تقنية المعلومات وعملاء تقنية المعلومات. عندما تم نشر الإصدار 
الأول للمواد الخاصة بأفضل ممارسات مستوى الخدمة في آيتل عام ٩۱۹۸ء‏ كانت اتفاقيات 
مستوى الخدمة 814 من المفاهيم المثيرة للاهتمام» إلا أنها م تكن شائعة في ذلك الوقت. 
أما في الوقت الراهن فقد قامت العديد من المؤسسات بطرحها بالرغم من تفاوت درجات 
نجاحهاء ويتعين على كبار المديرين أن يكونوا على دراية كافية بها ومدركين لأهميتها عند 
فهم الضوابط الداخلية للبنية التحتية لتقنية المعلومات. 

وفي مثال على اتفاقيات مستوى الخدمة؛ عندما تقوم إدارة تقنية المعلومات في 
المؤسسة بالتعاقد مع مقدم خدمات خارجي على تقديم بعض الخدمات» مثل خدمة 
النسخ الاحتياطي الخاص بالتعافي من الكوارث» فإنه لا بد من تأمين وحماية هذه 
الاتفاقية من خلال عقد رسمي يتم من خلاله الحصول على موافقة مقدم خدمة 
التعافي من الكوارث على تقديم مستويات معينة من هذه الخدمة وفقاً لجدول زمني 
محدد يعتمد على وقت الاستجابة. وفي هذه الحالة يُطلق على العقد المنظم لهذا 
الاتفاق اسم اتفاقية مستوى خدمة 514 بين وحدة تقنية المعلومات ومقدم الخدمات 
المستمرة. وفي هذه الحالة تكون اتفاقيات مستوى الخدمة 814١‏ المبرمة بين إدارة 
تقنية المعلومات وعملائها أكثر أهمية من منظور الرقابة الداخلية. لقد قمنا باستخدام 
مصطلح "العميل" للدلالة على المصطلح القديم الذي لايزال شاعا تى الآن لاهو 
"مستخدمو تقنية المعلومات". كما أن هناك مجموعات كثيرة في ا مؤسسة تستخدم 
مصطلح "خدمات تقنية المعلومات" 5615165 "11 وباعتبارهم عملاء لإدارة تقنية 
ا معلومات. فإنهم يتوقعون مستويات معينة من الخدمة والاستجابة. ويتم تحديد 
وتعريف هذه الاتفاقيات من خلال ما يُعرف باتفاقية مستوى الخدمة S14‏ وهي 
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اتفاقيات مستوى الخدمات (ئ514) 


عبارة عن اتفاق موثق بين إدارة تقنية المعلومات وعملائها يحدد الأهداف الرئيسية 
للخدمات والمسؤوليات المنوطة بكلا الطرفين. لذا لابد من التركيز على الاتفاقية, كما 
لا يجب أن تستخدم اتفاقيات مستوى الخدمة وسيلة لتهديد طرف أو آخر لإجباره 
على الاستجابة ممطالبه. نحن أيضاً لا نتحدث هنا عن وجود ضرورة رسمية أو شكل 
قانوني للوثيقةء ولكن نتحدث عن تفاهم موثق بين جميع الأطراف. لذلك لا بد من 
عمل شراكة حقيقية بين مقدم خدمات تقنية المعلومات والعملاء للتوصل إلى اتفاقية 
ذات منفعة متبادلة. خلاف ذلك. ستفقد اتفاقية مستوى الخدمة أهميتها بشكل 
سريع وتكون هدفاً لتلقي اللوم وقد تمنع ثقافة إلقاء التهم في هذه الحالة حدوث أي 
تحسينات حقيقة على جودة الخدمات. 

بناء على اتفاقية مستوى الخدمة» تتعهد إدارة تقنية المعلومات بتقديم خدمات 
محددة طبقاً لكل مجموعة من الجداول الزمنية المتفق عليهاء وعليها أن تتفهم أن هناك 
عقوبات جزائية إذا لم يتم تحقيق معايير الخدمة. إن الهدف من كل هذا هو المحافظة 
على جودة الخدمات وتحسينها من خلال دورة ثابتة من الاتفاق. والمتابعة» والإبلاغ. 
وتحسين المستويات الحالية لخدمات تقنية المعلومات. لذا يجب أن تركز اتفاقيات 
مستوى الخدمة بشكل إستراتيجي على الأعمال والحفاظ على المواءمة بين الأعمال وتقنية 
ا معلومات. 

يلخص الشكل التوضيحي (1-17) محتويات الاتفاقية النموذجية لمستوى الخدمة. 
وننوه هنا إلى أنه لا يجب أن تكون هذه الاتفاقية عبارة عن نوع من الوثائق التي تشبه 
وثيقة رهن منزل يتم التوقيع عليها على أنها جزء من عملية إتمام شراء المنزل» بل ليقوم 
عملاء تقنية المعلومات باستخدامها في توثيق متطلبات خدمة تقنية المعلومات التي يسعون 
إليها مثل "ألا يزيد متوسط وقت الاستجابة عن ..." أو " المعالجة الخاصة بإقفال النظم 
المالية تتم بحلول ... " أو غيرها من العوامل. ولضبط التوقعات الخاصة بتلك الخدمات 
وعرض ما يمكن أن يكون متاحاً منهاء فإن إدارة تقنية المعلومات تقوم عادة بتقديم بيان 
خاص بعروض خدمات تقنية المعلومات. لذا يجب إتمام التفاوض بشأن المتطلبات الخاصة 
بعملاء خدمات تقنية المعلومات ووضعها في اتفاقيات رسمية لمستوى الخدمة. كما يجب 
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مراقبة الأداء في مقابل هذه الاتفاقيات الخاصة بمستوى الخدمة بشكل مستمر وإرسال 

تقارير تتعلق بأدائها بشكل منتظم. حيث إن الإخفاق في تحقيق المعايير الخاصة باتفاقية 

مستوى الخدمة قد يؤدي إلى المزيد من المفاوضات والتعديلات المتعلقة بهذه الاتفاقية. 

وتوفر هذه العملية الخاصة باتفاقية مستوى الخدمة فوائد ومزايا لكل من الأعمال ووحدة 

تقنية المعلومات تشمل ما يلي: 

ه نظراً لأن وحدة تقنية المعلومات يجب أن تعمل على تحقيق المعايير التي تم التفاوض 
بشأنهاء فإن خدمات تقنية المعلومات تميل إلى أن تكون ذات جودة أعلى: الأمر 
الذي يؤدي إلى أعطال أقل. ومن الواجب أيضاً أن تتحسن إنتاجية مستخدمي تقنية 
ا معلومات. 

٠‏ سيتم استخدام ال موارد البشرية في تقنية المعلومات بشكل أكثر فاعلية عندما تقوم 
وحدة تقنية المعلومات بتقديم الخدمات التي تلبي التوقعات الخاصة بالعملاء بشكل 
أفضل. ١‏ 

٠‏ باستخدام اتفاقيات مستوى الخدمة» هكن قياس الخدمات المقدمة وسيتحسن عموماً 
التصور الخاص بعمليات تشغيل تقنية المعلومات. 

٠‏ إن وجود العقود الملزمة سيجعل الخدمات المقدمة من الأطراف الأخرى (طرف ثالث) 
أكثر قابلية للإدارة ويقلل أي احتمالية للتأثير السلبي على خدمات تقنية المعلومات التي 

٠‏ إن مراقبة جميع خدمات تقنية المعلومات الخاضعة لاتفاقيات مستوى الخدمة تساعد 
على تحديد نقاط الضعف التي يمكن تحسينها. 


o1‏ دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


اتفاقيات مستوى الخدمات (51,45) 
شكل توضيحي (۱-۱۷) 
عينة لمحتويات اتفاقية مستوى خدمات تقنية ا لمعلومات 


نظراً لعدم وجود نموذج أو صيغة موحدة لاتفاقية مستوى خدما ابلغلوماته خلا يد مق 
أخذ العناصر التالية في الاعتبار على أنها محتوى لمعظم اتفاقيات مستوى الخدمات: 


صفحات مقدمة الاتفاقية: 
٠‏ الأطراف المشاركة في الاتفاقية. 


٠‏ عنوان الاتفاقية ووصف بسيط عنها. 
٠‏ تواريخ: البداية والنهاية» وا مراجعة. 
٠»‏ نطاق الاتفاقيةء الأمور المشمولة وغير المشمولة. 
٠‏ مسؤوليات كل من مقدم الخدمة والعميل. 
٠‏ وصف للخدمات المشمولة. 
ساعات الخدمة :Service hours‏ 
٠‏ الوقت الطبيعي اللازم لكل خدمة. (مثال ۲٤×۷‏ أو من الاثنين إلى الجمعة من الساعة ٠٠نم .)18::٠-‏ 
« الترتيبات الخاصة بطلبات مد الخدمة متضفناً ذلك فترات الإشعار المطلوبة. (مثال: يجب أن 
يتم تقديم الطلب إلى مكتب الخدمة قبل حلول الثانية عشرة ظهرا لتمديد الخدمة في التوقيت 
المسائيء وقبل الثانية عشرة ظهرا يوم الخميس لتمديد الخدمة خلال عطلة نهاية الأسبوع). 
٠‏ فترات سماح لساعات خاصة (مثل: الإجازات العامة). 
٠‏ التقويم الزمني للخدمة. 
الإتاحة :Availability‏ 
٠‏ مستويات الإتاحة المستهدفة ضمن الساعات المتفق عليها. ويتم التعبير عنها عادة بالنسب 
المئوية. لذا يجب تحديد فترة وطريقة القياس والتي كن أن تعبر عن كامل الخدمة أو الخدمات 


الداعمة أو المكونات الحساسة أو الثلاثة معاً. كل لصعوبة ربطها بالنسب امئوية المبسطة. فإنه 
يمكن قياس الإتاحة من حيث عدم قدرة العميل على تنفيذ أنشطة الأعمال الخاصة بالخدمة. 
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الفصل السابع عشر 


موثوقية الخدمة :Reliability‏ 
٠‏ يتم التعبير عنها عادة بعدد انقطاعات الخدمة أو بمتوسط الوقت بين الأعطال 
Mean Time Between Failures (MTBF)‏ أو بمتوسط الوقت بين حوادث النظم 
.Mean Time Between System Incidents (MTBSI)‏ 


الدعم :Support‏ 
٠‏ ساعات الدعم (وهي تختلف عن ساعات الخدمة) متضمناً ذلك الترتيبات اللازمة لتقديم طلبات 
تمديد الدعم. 
٠‏ فترات الإشعار المطلوبة (مثلاً: يجب تقديم الطلب الخاص بتمديد الخدمة خلال الفترة المسائية 
إلى مكتب الخدمة قبل الثانية عشرة ظهراً أو قبل الثانية عشرة ظهراً يوم الخميس لتمديد 
الخدمة خلال فترة غطلة نهاية الأسبوع). 


٠‏ فترات سماح لساعات خاصة (مثل: العطل والإجازات العامة). 
“اوقت اللستهدف للاستجابة للحواذث سواء كان ماديا أم باستخدام وسائل أخرى (مثال: الاتصال 


الهاتفي أو بالبريد الإلكتروني). 
٠‏ الوقت المستهدف لحل الحوادث» وذلك في حدود أولوية كل حدث - حيث يختلف الهدف 
اعتماداً على أولوية الحوادث. 


الطاقة الإنتاجية :Throughput‏ 
٠‏ هي مؤشر على حجم الحركة والأنشطة الإنتاجية المحتملة. (مثال: عدد المعاملات التي يتم 


تنفيذها أو عدد المستخدمين الذين يعملون في الوقت نفسه او حجم البيانات التي يتم نقلها 
عبر الشبكة). 


أوقات الاستجابة للمعاملات :Transaction response times‏ 
٠‏ الأوقات المستهدفة معدل أو أعلى وقت استجابة لمحطة عمل. (أحياناً يتم التعبير عنها باستخدام 
النسب المثوية كأن نقول <1٥‏ في غضون ثانيتين). 
الأوقات المطلوبة لتبادل الدفعات :Batch turnaround times‏ 
٠‏ أوقات تقديم المدخلات وزمان ومكان تسليم المخرجات. 
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التغيرات :Changes‏ 
٠‏ أهداف تخص الموافقة على طلبات التغيير Request For Changes (RFCs)‏ ومعالجتها 
وتنفيذهاء والتي تعتمد عادة على الفئة أو إلحاحية/ أولوية التغيير. 
٠‏ استمرارية وأمن خدمات تقنية l|ۈعلlagٽsecurity IT service continuity and‏ 
٠‏ الإشارة باختصار لخطط استمرارية خدمات تقنية المعلومات وكيف يتم استدعاؤها وتغطية 
أي قضية من القضايا وخصوصاً أي مسئولية من مسئوليات العميل. (مثال: النسخ الاحتياطي 
لأجهزة الحاسبات الشخصية المستقلة 205 وتغيير كلمات المرور). 
٠‏ تفاصيل تتعلق بأي أهداف تخص الخدمات التي يتم الاستغناء عنها أو تعديلها في حال وقوع 
كوارث (إن لم يكن هناك أي اتفاقية منفصلة لمستوى الخدمة فيما يتعلق بموقف كهذا). 
ال مطالبات المالية وصنع متهطت: 


٠‏ تفاصيل عن الصيغة أو المعادلة ا إ٠‏ الخاصة بالمطالبات المالية والفترات الزمنية لها (في 
حال كانت هناك مطالبات مالية). إذا كانت اتفاقية مستوى الخدمة تشمل العلاقة مع المصادر 
الخارجية التي يتم الاستعانة بهاء فإنه يجب تفصيل المطالبات المالية في الملحق كونها يتم 
تغطيتها غالباً بأحكام المعلومات السرية. 


إعداد تقارير عن الخدمات ومراجعتها :Service reporting and reviewing‏ 

٠‏ محتوىء وتكرارء وتوزيع تقارير الخدمات وتكرار اجتماعات مراجعة الخدمة. 

الحوافز/ الجزاءات المرتبطة بالأداء :Performance incentives/ penalties‏ 

٠‏ تفاصيل عن أي اتفاقية تتعلق بالحوافز أو الجزاءات المالية اعتماداً على الأداء مقابل مستويات 
الخدمة المحددة. وعلى الأرجح أن يتم تضمين هذه المعلومات (الحوافز/ الجزاءات) في حال 
كانت الخدمات تقدم عن طريق منظمة خارجية (طرف ثالث). ومن الجدير بالذكر هنا هو أن 
الشروط الجزائية يمكن أن تتسبب بوجود صعوبات خاصة بها. 





إن عملية إبرام اتفاقية مستوى الخدمة هي إحدى العناصر الهامة لعمليات تشغيل 
تقنية المعلومات. فإذا لم تكن المؤسسة تستخدم اتفاقيات رسمية لمستوى الخدمة, فإنه 
يتعين على الإدارة العليا التفكير في تنفيذ العمليات الرسمية لاتفاقيات مستوى الخدمة 
المُوصى بها. حيث تستطيع اتفاقيات مستوى الخدمة أن تخلق بيئة جديدة كلياً داخل 
تقنية المعلومات. ولتتمكن جميع الأطراف من فهم مسؤولياتهم والتزاماتهم تجاه الخدمة 
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عأ نحو أفضل: هذا بالإضافة إل اغتماة اتفاقية مستوئ الخدمة أساساالتسوية العديد 
من اللسائل. 
يجب على اطهنيين الذين يسعون إلى توسيع مدى إدراكهم لإدارة خدمات 

المعلومات أن يستخدموا المصادر الخاصة بمنتدى إدارة خدمات تقنية المعلومات 18۷۴ 
الذي تم الحديث عنه سابقا. 3 تعتبر هذه المنظمة غير الربحية لاعباً بارزاً في عمليات 
التطوير والتعزيز ا مستمر بلعايير أفضل الممارسات الخاصة بإدارة خدمات تقنية المعلومات. 
ويستطيع المسئول التنفيذي المهتم بتعلم المزيد أن يزور امموقع 5528.018)ف:171750 للحصول 
على المزيد من المعلومات. وسوف تقود عملية البحث إلى مواقع وطنية مستقلة لكل دولة. 
فهي منظمة تقبل عضويات ولكن يستطيع المرء التسجيل للدخول بصفة ضيف والوصول 
إلى العديد من الوثائق والأوراق وا معلومات المتعلقة بالمؤتمرات والندوات القادمة. يهتم 
منتدى إدارة خدمات تقنية المعلومات 15011 بالترويج لأفضل ممارسات إدارة خدمات 
تقنية المعلومات الخاصة بمكتبة البنية التحتية لتقنية المعلومات آيتل كما أن له اهتماماً 
قوياً معايير أيزو ۲۰۰۰۰ (20000 150). 


معايير المجموعة المفتوحة للامتثال والأخلاقيات ©:0©01: 

إن المجموعة المفتوحة للامتثال والأخلاقيات ©0011 عبارة عن منظمة صناعية غير 
ربحية تعمل على تطوير المعايبر وتساعد المؤسسات في تحسين عمليات الحوكمة وإدارة 
المخاطر والامتثال الخاصة بها. ومن خلال الدعم الكبير المقدم لها من قبل صناعة التقنية, 
قامت هذه المنظمة بنشر العديد من "المعايير” مثل نموذج قدرة الحوكمة وإدارة المخاطر 
والامتثال ©686. قمنا بوضع كلمة معايير بين علامتي اقتباس نظراً لأن ا مجموعة الفتوحة 
للامتشال والأخلاقيات لا تمتلك صلاحية وضع المعايير كما هو موجود في معايير الجمعية 
الأمريكية للمحاسبين القانونيين 41054 أو حتى في بعض المواد الإرشادية الخاصة بالمنظمة 
الدولية للمعايير 180 التي تناولنا الحديث عنها في الفصل السابع من هذا الكتاب. 


يعرض هذا القسم "الكتاب الأحمر" ")800 864" الخاص با مجموعة المفتوحة للامتثال 
والأخلاقيات 0٥٤6‏ ونموذج قدرة الحوكمة وإدارة المخاطر والامتثال ©6122 الخاص بها. إن 
هذه المواد الإرشادية للمجموعة المفتوحة للامتثال والأخلاقيات تشبه إلى حد كبير المعلومات 
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الإرشادية الأخرى للحوكمة وإدارة المخاطر والامتثال وإطار حوكمة تقنية المعلومات التي 
يمكن العثور عليها في فصول أخرى من هذا الكتاب» ولكن مع اختلاف طفيف في التركيز أو 
النهج المتبع. إن استخدام المجموعة المفتوحة للامتثال والأخلاقيات لكلمة "المفتوحة" له 
معنى خاص بالنسبة لتقنية المعلومات» إذ يتبادل النظام المفتوح التغذية الراجعة مع البيئة 
الخارجية لكي يقوم بإجراء تحليل مستمر لتلك الردود وإعادة ضبط النظم الداخلية حسب 
الحاجة لتحقيق أهداف النظام» ومن ثم نقل هذه المعلومات الضرورية مرة أخرى إلى 
تلك البيئة الخارجية. وتختلف النظم المغلقة عن النظم المفتوحة بأن لها حدوداً محكمة 
تسمح بتبادل معلومات طفيفة مع الخارج. تبدو بعض المنظمات غالباً - مثل المنظمات 
البيروقراطية والاحتكارية ونظم تقنية المعلومات الكاسدة والتي قامت بغلق الحدود - غير 
صحية. فالمصطلح الشائع بالنسبة للعديد من نظم تقنية المعلومات الحديثة والمتطورة 
هذه الأيام» هو مصطلح "المفتوحة" وهي الكلمة المناسبة لنموذج قدرة الحوكمة وإدارة 
المخاطر والامتثال. 

توجد الإرشادات الخاصة بالحوكمة وإدارة المخاطر والامتثال والصادرة عن ا مجموعة 
المفتوحة للامتثال والأخلاقيات في وثيقة أطلق عليها اسم "الكتاب الأحمر" الخاص بنموذج 
القدرة: وتوجد هذه الوثيقة في الموقع 018.ع171917:02. وللعلم فإن الوثيقة الرسمية 
في نسختها الثانية حتى وقت نشر هذا الكتاب» متاحة عبر شبكة الإنترنت» في حين أن 
النسخة المحسنة متاحة فقط للأعضاء المشتركين. تحتوي نسخة الإنترنت الأساسية على 
وصف كامل لنموذج الحوكمة وإدارة المخاطر والامتثال. لكن يمكن بتكلفة إضافية 
الحصول على النسخة المحسنة مع قوالب وغيرها من الوسائل المساعدة والمفيدة في 
تطبيق هذه الأداة. يستند نموذج القدرة هذا على مفهوم سمي بالأداء القائم على مبادئ 
»)Principled Performance)‏ وهو نهج متكامل للحوكمة وإدارة ال مخاطر والامتثال 
سنتحدث عنه في الأقسام اللاحقة. 

تمثل صورة عناصر قدرة الحوكمة وإدارة المخاطر والامتثال الموضحة بالشكل (۲-۱۷) 
قلب نموذج المجموعة المفتوحة للامتثال والأخلاقيات؛ إذ إن العديد من المفاهيم هنا تشبه 
إلى حد كبير مفاهيم الحوكمة وإدارة المخاطر والامتثال التي تحدثنا عنها في فصول أخرى من 
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هذا الكتابء إلا أن نموذج المجموعة المفتوحة للامتثال والأخلاقيات له نظرة صناعية ومرتكزة 
على تقنية المعلومات بشكل أكبر. إن أهداف المجموعة المفتوحة للامتثال والأخلاقيات 
الخاصة بهذا النموذج يجب أن تساعد المؤسسات على عمل ما يلي: 

٠‏ تعزيز أهداف العمل. 

٠‏ تعزيز ثقافة المنظمة. 

٠‏ زيادة ثقة أصحاب المصلحة. 

٠‏ تجهيز المؤسسة وحمايتها. 

٠‏ منع وقوع الكوارث» والكشف عنهاء وتقليصها. 

٠‏ التحفيز والحث على السلوك المرغوب فيه. 

٠‏ تحسين المسؤولية والكفاءة. 

« تحسين القيمة الاقتصادية والاجتماعية. 

مفهوم الأداء القائم على مبادئ الخاص بالمجموعة المفتوحة للامتثال 
والأخلاقيات ©060176: 

لقد جعلت المجموعة ال مفتوحة للامتثال والأخلاقيات من مصطلح الأداء القائم على 
مبادئ علامة تجارية خاصة بها. حيث يصف هذا المصطلح الحاجة إلى صياغة الأهداف 
المالية وغير المالية للمؤسسة اللازمة لتحقيق جميع الأهداف التي تختارها المؤسسة للأخذ 
بها أثناء توظيف النهج الذي يتسم بالفاعلية والكفاءة والاستجابة لدعم أهداف كل من 
الحوكمة وإدارة ا مخاطر والامتثال. الفكرة هنا هي أن جميع المؤسسات يجب أن تعمل 
ضمن حدود داخلية وخارجية محددة. حيث تقوم القوى الخارجية كالمتطلبات القانونية 
والتنظيمية بإقامة الحدود الخارجية المفروضة. فالهدف هنا هو العمل على تكامل مبادئ 
وأهداف الحوكمة وإدارة المخاطر والامتثال لمساعدة المؤسسة على التحكم بالأداء على 
نحو أفضل. 
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شكل توضيحي (۲-۱۷) 
عناصر نموذج قدرة الحوكمة وإدارة المخاطر والامتثال 6۸٣‏ الخاصة بالمجموعة المفتوحة للامتثال 
والأخلاقيات ©0601 





|4. التقييم 


لكي تحقق المؤسسة مفهوم الأداء القائم على مبادئ Principled Performance‏ الخاص 
با مجموعة المفتوحة للامتثال والأخلاقيات» فإنه يجب عليها أن تحدد بوضوح رسالتها ورؤيتها 
وقيمها وأن تحدد نكا الأهداف التي تسعى لتحقيقها. كما يجب أن تحدد المؤسسة ا 
كيف ستحقق أهدافها في الوقت الذي تتعامل فيه أ مع المخاطر والإشكالات وحماية 
وخلق القيمة وتحديد فرص جديدة, والبقاء ضمن حدود معينة من السلوك الأخلاقي. 
كما يجب على المؤسسة أن تتحرى الشفافية في هذه الخيارات بالنسبة لأصحاب المصالح 
الداخليين والخارجيين» ويجب أن تحاول تحقيق جميع هذه الأمور باستخدام نهج متكامل 
لتحقيق أغلى 'مستوى ممكن من الأداء. 
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إن هذه المفاهيم للأداء المبدئي هي العناصر الرئيسية لنموذج قدرة الحوكمة وإدارة 
المخاطر والامتثال الخاصة بالمجموعة المفتوحة للامتثال والأخلاقيات كما هو موضح في 
الشكل التوضيحي )۲-٠۷(‏ والتي تم إعادة صياغتها من المواد الخاصة با مجموعة المفتوحة 
للامتثال والأخلاقيات. الأقسام التالية تصف عناصر هذا النموذج بمزيد من التفصيل. يوجز 
هذا النموذج مجموعة كبيرة من المواد وا مفاهيم الرفيعة المستوى التي تبر چا هن 
نموذج المجموعة المفتوحة للامتثال والأخلاقيات. نشجع القارئ المهتم بالوصول إلى كامل 


النموذج من خلال عنوان الويب المشار إليه سابقا. 


عناصر القدرة والبيئة والثقافة الخاصة بالحوكمة وإدارة المخاطر والامتثال ©612©: 

يعرض الشكل التوضيحي )۲-٠۷(‏ كلاً من القدرة والبيئة والثقافة على أنها عوامل أو 
عناصر في نموذج الحوكمة وإدارة المخاطر والامتثال الخاص بالمؤسسة. يهدف هذا الشكل 
إلى توضيح البيئة الداخلية والخارجية للأعمال والثقافة الحالية التي تعمل فيها المؤسسة. 
على سبيل ال مثال» يمكن لنظام الحوكمة وإدارة المخاطر والامتثال أن يعالج الأوضاع الراهنة 
وأن يحدد الفرص المتاحة للتكيف مع البيئة والثقافة لتحديد قيم المؤسسة من أجل تحقيق 
النتائج المرجوة بشكل أفضل. وباستخدام الحرف © نجد أن هناك أربعة عناصر خاصة بهذا 
المقطع من نموذج 0 المنشور وهي: 

1 سياق أو بيئة الأعمال الخارجية. 

2 سياق أو بيئة الأعمال الداخلية. 

3 الثقافة. 

4 القيم والأهداف. 

يحرف نموذج قدرة الحوكمة وإدارة المخاطر والامتثال أيضاً مجموعة من العناصر 
الفرعية لكل عنصر من هذه العناصر. على سبيل ال مثالء يحتوي النموذج على العناصر 
الفرعية التالية للعنصر 03: 
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1 تحليل الثقافة الأخلاقية. 

2 تحليل القيادة الأخلاقية. 

3 تحليل ثقافة المخاطر. 

4 تحليل إشراك مجلس الإدارة. 

5 تحليل ثقافة الحوكمة ونمط الإدارة. 

56 تحليل مشاركة القوى العاملة. 

وكل عنصر من هذه العناصر الفرعية مدعوم بعناصر أكثر تفصيلا لتوسيع الصورة. 
إضافة إلى ذلك. يحتوي النموذج على مجموعة من المبادئ وقانئمة مصادر الإخفاقات 
الشائعة لكل مبدأ من هذه ا مبادئء هذا بالإضافة إلى احتوائه أيضاً على إرشادات ومراجع 
مواد دعم إضافية. 
عناصر القدرة والتنظيم والإشراف الخاصة بالحوكمة وإدارة المخاطر والامتثال 6120: 

إن هدف الإرشادات الخاصة بالمجموعة المفتوحة للامتشال والأخلاقيات هو تنظيم 
ووصف نظام الحوكمة وإدارة المخاطر والامتثال الذي يتكامل مع عمليات الأعمال القائمة 
والذي يمكن أن يعدل فيها أيضاً عند الضرورة. أما تلك ا مجموعة من العناصر التي تمت 


الإشارة إليها بالحرف © في نموذج المجموعة المفتوحة للامتثال والأخلاقيات فهي تحتوي على 
العناصر الأساسية والفرعية التالية: 


1 النتائج والالتزام: 
1 تحديد نطاق نظام 6110. 
2 تحديد أنماط وأهداف نظام 610. 
3 الحصول على الالتزام بنظام 6120. 
2 الأدوار والمسؤوليات: 
1 تحديد وتمكين قواعد الرقابة والمساءلة لنظام ©686. 
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2 تحديد وتمكين أدوار ومسؤوليات الإدارة. 

3 تحديد وتمكين الأدوار والمسؤوليات القيادية. 

4 تحديد وتمكين القواعد التشغيلية لنظام ©6126. 

5 تحديد وتمكين أدوار الضمان والمساءلة (مثل الرقابة الداخلية). 

من خلال مخطط كهذا من النقاط الفرعية والنقاط المتفرعة منهاء فإنه يوجد تفصيل 
كاف ليساعد المؤسسة على تأسيس وتنظيم وحدة أو إدارة للحوكمة وإدارة المخاطر 
والامتشال. فهناك مجموعة جيدة من المبادئ ومصادر الإخفاقات الخاصة بكل من هذه 
المبادئ للمساعدة في تنظيم عملية فعالة في الحوكمة وإدارة المخاطر والامتثال في املؤسسة. 

إن هدف هذا الفصل هو تسليط الضوء على أن نموذج القدرة للحوكمة وإدارة المخاطر 
والامتثال الخاص بالمجموعة ال مفتوحة للامتثال والأخلاقيات 6۸٥(‏ ©00178) يحتوي على 
بعض الأدوات الرائعة لمساعدة المؤسسة على تأسيس إدارة فعالة للحوكمة وإدارة المخاطر 
والامتثال وتحسين عمليات حوكمة تقنية المعلومات. فنحن هنا نسلط الضوء فقط على 
بعض الخصائص الرفيعة المستوى في هذا النموذج. فكل عنصر من هذه العناصر مدعوم 
بمزيد من التفاصيل. 

لسنا هنا بصدد التوسع في الحديث عن نموذج المجموعة اممفتوحة للامتثال والأخلاقيات 
© والتعليق على كل عنصر من عناصره. بل نقوم فقط بتسليط الضوء على هذا 
النموذج للمجموعة المفتوحة للامتثال والأخلاقيات ©0016 الذي يقدم بعض الإرشادات 
الرائعة لمراعاة بعض العناصر الهامة من أجل إيجاد أو وضع عمليات هامة لحوكمة تقنية 
ا معلومات. 
عناصر أخرى للمجموعة المفتوحة للامتثال والأخلاقيات :OCEG‏ 

بالتأمل في الشكل التوضيحي (۲-۱۷)» سنرى أن كل قسم من أقسام هذا النموذج 
يحتوي على أهداف محددة خاصة به. على سبيل المثال» الهدف الإرشادي المعلن للقسم ۸ 
من نموذج المجموعة المفتوحة للامتثال والأخلاقيات المسمى بالتقييم والمواءمة. هو تعزيز 
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الملف الخاص بالمخاطر في المنظمة من خلال محفظة من المخاطر والأساليب والأنشطة في 
هذا المجال. وتتضمن الإجراءات هنا تحديد المخاطر وتحليلها وتحسينها. على سبيل المثال» 
الهدف من تحديد المخاطر في النموذج ا لمنشور هو "تحديد الأحداث والقوى والعوامل 
التي يمكن أن تؤثر في تحقيق أهداف الأعمالء متضمنة تلك التي تنشأ نتيجة عدم الامتثال 
للمتطلبات الموضوعة بمقتضى القانون أو المعايير أو السياسات الداخلية أو غيرها من 
الحدود." 

بالتأمل في نموذج القدرة» وبالنظر إلى القسم 7 المسمى بانع والتعزيز. حيث يهدف 
هذا القسم إلى تشجيع وتحفيز السلوكيات المرغوب فيها ومنع الأحداث والأنشطة غير 
المرغوب فيهاء وذلك باستخدام مزيج من الضوابط والحوافز. يحتوي هذا القسم على سبعة 
عناصر منها مدونات قواعد السلوك والضوابط الوقائية وعلاقات وحاجات أصحاب المصالح. 

سنسلط الضوء على عنصر آخر في نموذج قدرة الحوكمة وإدارة المخاطر والامتثال 6۸٤‏ 
ألا وهو القتسم ۸ المسمى بالاستجابة والحل. ويهدف هذا العنصر إلى الاستجابة للأحداث 
التي تنشأ نتيجة لعدم الامتثال والأحداث غير الأخلاقية أو إخفاقات نظام الحوكمة وإدارة 
ا مخاطر والامتثال. وذلك لتتمكن المؤسسة من حل كل قضية من القضايا العاجلة ومنع 
وحل الفا اا اة مقا يكفاءة وفاعلية اك کون هذا 'العتص من خمسة 
مكونات: 

1 المراجعة والفحص الداخلي. 

2 الاستفسارات والتحقيقات الخاصة بالطرف الثالث. 

3 الضوابط التصحيحية. 

4 الاستجابة للأزمات والاستمرارية والتعافي. 

5 علاج نظام الحوكمة وإدارة ا مخاطر والامتثال 6260. 

إن العديد من هذه الإجراءات يذهب إلى ما هو أبعد من خطوات حوكمة تقنية 
المعلومات التي تم وصفها في فصول أخرى من هذا الكتاب الخاصة بالتحقيق في المخالفات 
المتعلقة بالممارسات الأخلاقية وممارسات الامتثال الخاصة بالمؤسسة. على سبيل المثال» 
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بالنسبة للعنصر الفرعي ۸1 الذي يتناول موضوع المراجعات الداخليةء فإن التوجيه 
هو المراجعة والجاهزية للتحقيق في المزاعم وا مؤشرات الدالة على سوء السلوك أو على 
إخفاقات في نظام الحوكمة وإدارة المخاطر والامتثال للوقوف على الحقائق والظروف 
المحيطة والأسباب الرئيسية وإيجاد الحلول المناسبة لها. القاعدة هنا هي أنه لا ينبغي 
مجلس الإدارة والإدارة العليا أن يكونوا أبداً هم الطرف المصدوم: بل يجب أن يكونوا على 
دراية بأي قضية قد تؤثر بشكل كبير في المؤسسة حين وقوعها. 

يدعو المعيار المؤسسة إلى وضع إجراءات وفريق عمل أساسي للتحقيق والبحث أكثر في 
الشكاوى أو في التقارير الخاصة بقضايا الامتثال والقضايا الأخلاقية وكذلك القضايا التي 
تم الكشف عنها أثناء عمليات الرقابة المستمرة أو التقييم الدوري لنظام الحوكمة وإدارة 
المخاطر والامتثال. يستمر المعيار في الدعوة إلى وضع إجراءات قوية لوضع أمور معينة 
في بؤرة اهتمام الإدارة العليا أو مجلس الإدارة. كما يدعو أحد المعايير التوجيهية الأخرى 
المؤسسة إلى أن تقوم بمراجعة أي حوادث أو بيانات مُبلغ بها بشكل دوريء وذلك لتحديد 
التوجهات» أو مواطن المشاكلء أو الضوابط التي بحاجة إلى تنقيح. وعليه فإن الإجراءات 
المقترحة أقوى مما كنا نتوقع أن نجده في العديد من المؤسسات هذه الأيام. 

وبمزيد من البحث في العناصر الست الرئيسية للحوكمة وإدارة المخاطر والامتثال» نجد 
أن عنصر المتابعة والقياس يقع في الركن العلوي الأيسر من الشكل. حيث يحتوي هذا 
العنصر على الإرشادات الخاصة بإسناد المسئوليات الإداريةء وسلطة صنع القرارء وا مساءلة 
من أجل تحقيق أهداف النظام. ويستخدم هذا العنصر الحرف ۸1 ويتكون من عناصر 
لمراقبة وتقييم أداء برامج الحوكمة وإدارة المخاطر والامتثال والبدء بإجراء التحسينات على 
النظم إذا اقتضت الضرورة ذلك. 

يقر هذا العنصر بأن نظام الحوكمة وإدارة المخاطر والامتثال لابد أن يكون مرناً ها فيه 
الكفاية للاستجابة السريعة للتغيرات الداخلية والخارجية التي تحدث في البيئة التي يعمل 
بها. وأن هذا النظام سيكون أكثر فاعلية في حال كانت المؤسسة تقوم بتحديد وتقييم 
التغيرات المتوقعة في الوقت المناسب لتخطيط التعديلات على النظم. كما يقر النموذج 
أيضاً بأن الفشل في الاستجابة لأي تغيرات ضرورية في السياق قد ينتج عنه فشل في معايير 
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حوكمة تقنية المعلومات وفي الضوابط الحساسة لنظام الحوكمة وإدارة المخاطر والامتثال. 

يدعو المعيار المؤسسة أن تقوم باستمرار بمراقبة التغيرات الداخلية والخارجية التي يمكن 
أن يكون لها تأثير مباشر أو غير مباشر أو تراكمي على المؤسسة. على سبيل المثال» قد تشمل 
التغيرات في المتطلبات الخارجية ما يلي: 

٠.‏ القوانين والقواعد واللوائح. 

ه التوجيهات والقرارات الإدارية. 

٠‏ الأحكام القضائية الهامة. 

٠‏ الإرشادات التنظيمية والادعائية. 

٠‏ أنشطة متابعة الأوامر وفرضها. 

٠‏ التزامات الجمعيات التجارية ومنظمات المعايير. 

تشير هذه القائمة إلى تحديات خاصة با مؤسسة - خاصة الكبيرة منها وذات الجنسيات 
المتعددة - والتي سوف تواجهها عند محاولتها القيام بمراقبة أحداث مثل القرارات 
الحكومية. في أغلب الأحيان يكون الأمر أكبر من أن يتم إسناد هذه المهمة الرقابية إلى 
مجموعة واحدة للقيام بهذه المهمة الرقابيةء وذلك بسبب اتساع وتنوع المعلومات. لذلك 
لابد من وجود عمليات معمول بها تحفز الإدارة على اختلاف مستوياتها ومواقعها على 
إرسال تقارير بمجالات التحذير المحتملة إلى مجموعة الإدارة المركزية للحوكمة وإدارة 
المخاطر والامتثال للقيام مزيد من التحقيقات وتخطيط الإجراءات. 

القسم 1 أو الإبلاغ والتكامل هو آخر عنصر في نموذج الحوكمة وإدارة المخاطر والامتثال. 
وهو يقع في وسط النموذج الموضح في الشكل التوضيحي (17-؟) وهدفه العام يتمثل في 
الحصول على المعلومات الخاصة بنظام الحوكمة وإدارة المخاطر والامتثال وتوثيقهاء وإدارتها 
لكي يتدفق بكفاءة أعلى وأسفل وعبر المؤسسة ال ممتدة من أصحاب المصلحة الخارجيين 
وإليهم. وهذا يدعو المؤسسة إلى تطوير وتطبيق مجموعة كبيرة من العمليات الخاصة 
بمعلومات نظام الحوكمة وإدارة ا مخاطر والامتثال كعمليات تصنيف المعلومات: والحصول 
عليهاء وتخزينهاء وإبلاغها. وعلى الرغم من أنه ليس من الضروري أن يكون لدى المؤسسة 
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نظام واحد في كل موقع» فإنه يجب أن تتناغم هذه العمليات من حيث تصنيفاتها وأشكالها 
وقدزاتها غان الاتصال. 

إن بنية مجموعة نظم الدعم الخاصة بالحوكمة وإدارة المخاطر والامتثال يمكن أن 
تكون أحد العوامل الرئيسية لنجاح نظام معلومات الحوكمة وإدارة المخاطر والامتثال 
بالكاملء لكنها أيضاً يمكن أن تكون أحد التحديات الرئيسية لتحقيق النجاح. على غرار 
مبادئ 18831 0050 التي تحدثنا عنها في الفصل الثامن من هذا الكتاب, فإنه يتعين 
على المؤسسة أن تحصل على كمية كبيرة من البيانات والمعلومات المختلفة والعمل على 
تصنيفهاء كما يجب أن يكون لديها القدرة أيضاً على الحصول على تلك المواد لتحليلها والرد 
على الاستفسارات الواردة. 


نموذج المجموعة المفتوحة للامتثال والأخلاقيات ©0078 وحوكمة تقنية 
المعلومات: 

إننالم نصل بعد إلى النقطة التي عندها هكن للمديرين ذوي الاختصاص استخدام 
محرك البحث جوجل في البحث عن "نظم مراقبة الامتثال لنموذج الحوكمة وإدارة المخاطر 
والامتثال G۸٣‏ الصادر عن المجموعة المفتوحة للامتثال والأخلاقيات 001:6" للحصول على 
قائمة بالباعة المناسبين الذين يعرضون برمجيات نظم مراقبة الامتثال الخاصة ب 0٣۴6‏ 
020 نتيجة لعملية البحث. يوجد العديد من الأساليب للحلول إلا أن هناك القليل من 
الحلول الفردية الواضحة. أحد مجالات الحلول المحتملة يمكن أن نجدها في نظم السجلات 
الإلكترونية الطبية في المستشفيات Electronic Medical Record Systems (EMRS)‏ 
ويتم تسجيل كل نشاط من الأنشطة الخاصة با مريض» بدءاً من نتيجة الفحوصات المعملية 
إلى ملاحظات الطبيب. إلى الأدوية الموصوفة. والكثير غيرها على نظام 51/1115 بغرض 
استرجاعها فيما بعد من أجل الاستخدام الحالي لها أو لأغراض الأرشفة. يجب أن يحتوي 
نظام المعلومات الفعال لنموذج قدرة الحوكمة وإدارة المخاطر والامتثال على العديد من 
هذه العناصر. 

لقد أوجزت الأقسام السابقة العديد من عناصر نموذج القدرة للحوكمة وإدارة المخاطر 
والامتثال الصادر عن المجموعة المفتوحة للامتثال والأخلاقيات ©12© ©0018 على مستوى 
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عال للغاية. إلا أن هناك نماذج أخرى تدعو إلى اتباع نهج أكثر تفصيلاً وفي بعض الأحيان 
E‏ أكثر اعتماداً على الضوابط الإدارية. في جميع الأحوال فإن وصفنا الرفيع المستوى 
هنا للموضوع لا يقدم دراسة كاملة بالشكل الذي يمكن أن نجده في ١٤۲-صفحة‏ من 
المنشور الخاص بالمجموعة المفتوحة للامتثال والأخلاقيات 001786 وفي شكله الأساسي» مع 
المزيد من التفاصيل في وثيقة موسعة. مما يشجع القارئ المهتم للقيام بالمزيد من البحث 
والتحقيق في موذج 6120© ©001780. 

إن زيارة موقع الويب الخاص بالمجموعة المفتوحة للامتثال والأخلاقيات سيسمح 
بالوصول غير المحدود إلى مجموعة متنوعة من المواد. بعضها للاطلاع والبعض الآخر مخصص 
للمشتركين. وهي المواد ذات الأهمية الخاصة مثل الكتاب الأحمر وهو عبارة عن وثيقة 
تقييم لدعم إرشادات نموذج القدرة الخاص بالمجموعة المفتوحة للامتثال والأخلاقيات. 
والغرض منه تزويد المختصين في مجال الحوكمة وإدارة ا مخاطر والامتثال بمجموعة عامة 
من الإجراءات المستخدمة في التقييم والتي تتفق مع نموذج قدرة الحوكمة وإدارة ا مخاطر 
والامتثال الموضح سابقاً وكذلك إرشادات حول ما يمكن توقعه خلال عملية تقييم أي نظام 
للحوكمة وإدارة المخاطر والامتثال» مع مجموعة من الأهداف التي تساعد المؤسسة في 
تقييم فاعلية تصميم وتشغيل نظام الحوكمة وإدارة ال لمخاطر والامتثال الخاص بهاء وكذلك 
خفض تكلفة تلك التقييمات من خلال تقديم إجراءات محددة. كما يهدف هذا المنشور 
إلى رفع مستوى نضج وجودة العمليات الخاصة بالحوكمة وإدارة المخاطر والامتثال الخاص 
با مؤسسة» وذلك من خلال تقديم المساعدة في وضع خطط تحسين محددة الأولوية وتوفير 
مصدر خارجي للحكم والاعتراف بهذه الممارسات. 

مستوى ونطاق سلطة وضع المعايير للمجموعة المفتوحة للامتثال والأخلاقيات 01:6 0: 

كما أكدنا سابقاً فإن المجموعة المفتوحة للامتثال والأخلاقيات لا تمتلك حتى الآن سلطة 
وضع المعايير كما هو حال المنظمات الأخرى مثل 208078 والأيزو 180. هذا بالإضافة إلى 
أنه بالرغم من إصدارها للعديد من المواد الإرشادية القويةء فإن هذه ال مواد لا تزال تفتقر 
للقبول والاعتراف العالي المستوى من قبل الآخرين حتى الآن. ومع كل هذاء فإننا نشعر 
بأن أهمية المجموعة المفتوحة للامتثال والأخلاقيات والمواد الإرشادية الخاصة بها ستنمو في 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات o۲1‏ 


الفصل السابع عشر 


السنوات القليلة القادمة نظراً لنمو الاهتمام بالعمليات الفعالة للحوكمة وإدارة المخاطر 
والامتثال وزيادة الحاجة إليها. 

إن إحدى نقاط القوة الرئيسية للمجموعة المفتوحة للامتثال والأخلاقيات هي أنها 
منظمة تطوعية بالكامل دار من قبل أعضاء من المنظمات الراعية وقد تم تشكيل مجلس 
إدارة لها من هؤلاء الأعضاء. وتضم قائمة الرعاة كبرى شركات المحاسبة العامة مثل برايس 
ووترهاوس- كوبرس 615 م21161973]61101156-0007 وجرانت ثرونتون 11010600" .Grant‏ 
هذا بالإضافة إلى العديد من الرعاة الرئيسيين من قادة صناعة تقنية المعلومات أمثال 
أوراكل 0:16 وساب 5427 وكذلك رعاة الصناعة الأمريكية في المقام الأول من شركات 
مثل عون ۸٥‏ وهي إحدى الشركات الكبرى للتأمين ومتاجر التجزئة وول مارت 6نتصله11. 
فإذا كان هناك أي قلق أو خوفء فمن الواضح بأنه سيكون متوقفاً على المنظمات الراعية 
وأعضاء اللجنة الخاصة با مجموعة 001716. فهذه المجموعة ليست أكثر من أن مقرها 
الولايات المتحدة وليست منظمة دولية با معنى الحقيقي. وفي عالمنا المفتوح هذه الأيام, 
نحن بحاجة إلى المزيد من التركيز على المواصفات العابلية. 


قيمة تقنية المعلومات '1741.171: تحسين قيمة استثمارات تقنية المعلومات: 
وُجِدّت جميع المؤسسات سوء كانت كبيرة أو صغيرة لتقدم قيمة للمستفيدين من 
خدماتها. وتواجه هذه المؤسسات تحدياً حرجاً وحساساً فيما يخص ضمان تحقيقهم 
للقيمة من استثماراتها المعقدة والمتزايدة بدرجة كبيرة في موارد تقنية المعلومات. وقد 
قام معهد حوكمة تقنية المعلومات (1101) عأناأناقم] Governance‏ '11 الذي تم تقدهمه 
للمرة الأولى في الفصل الخامس من هذا الكتاب» بإصدار مجموعة من اللواد المتعلقة بأفضل 
الممارسات التي أطلق عليها اسم «قيمة تقنية المعلومات»'" ۷۵11١‏ لمساعدة المؤسسة على 
علاج هذا التحدي وتحقيق قيمة من تلك الاستثمارات القائمة على تقنية المعلومات. 
تحاول 1١‏ 1/81 أن تعالج المشاكل المتعلقة بإدارة وحوكمة تقنية المعلومات التي تواجهها 
الإدارة على اختلاف مستوياتها. حيث إن تقنيات وممارسات تقنية المعلومات دانمة التغير 
والتكيف تبعاً لممارسات الأعمال الجديدة. فكثيراً ما تستثمر المؤسسات في النظم والإجراءات 
الجديدة والمنقحة مع قليل من التخطيط والبحث الإضافي» حيث سرعان ما تكتشف أن 
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اتفاقيات مستوى الخدمات (51,45) 


هذه المبادرات الجديدة لا تعمل كما هو مأمول أو أنها تحتاج إلى استثمار حجمه أكبر بكثير 
مما هو متوقع. إننا نواجه هذا الموقف كثيراً على سبيل المشالء عندما يصاب المدير المالي 
التنفيذي بالإحباط جراء بعض القصور في النظم المالية الخاصة بالمؤسسة. فيقوم هو شخصيا 
بالبحث عن أفضل الحلول الممكنة في العروض التجارية المقدمة من الموردينء ثم يعمل على 
تشجيع إدارة تقنية المعلومات على تبني واعتماد هذا الحل. وفي ظل هذا الضغط من أحد 
أعضاء الإدارة العليا ولكن بقليل من البحث والتحقيق التفصيلي فيما يخص هذا الشأنء فإن 
المؤسسات في بعض الأحيان تبادر في استثمارات جديدة في تقنية المعلومات بتكاليف باهظة 
دون الحصول قيمة حقيقية من تلك الاستثمارات. يعد11 7731 أحد أطر العمل التي تحتوي 
على أفضل الممارسات للحوكمة» وهذا يتفق إلى حد كبير مع إطار أهداف ضوابط ال معلومات 
والتقنيات ذات الصلة (كوبت) والذي تم الحديث عنه في الفصل الخامس من هذا الكتاب. 
يتكون إطار العمل كوبت من مجموعة من المبادئ الإرشادية وعدد من العمليات الُوصى 
بها والمرتبطة بتقنية المعلومات والتي تتفق مع هذه المبادئ والممارسات الرئيسية في الإدارة. 
في حين يشكل الإطار ۷11١‏ مجموعة كاملة من الأنشطة البحثية وا لمطبوعات والخدمات 
الإضافية التي تدعم الإطار الرئيسي لقيمة تقنية المعلومات ۷11١‏ كما هو موضح في الشكل 
التوضيحي .)7-1١/(‏ وعلى الرغم من أن الإطار كوبت يحدد ممارسات جيدة "للوسائل" التي 
تسهم في عملية خلق القيمةء فإن الإطار 1١‏ ۷۵1 يحدد ممارسات جيدة لتحقيق "الغايات", 
وذلك من خلال تزويد المؤسسات بالهيكل الذي تحتاج إليه لقياس ومراقبة وتحسين عملية 
تحقيق قيمة الأعمال من استثماراتها في مجال تقنية المعلومات. 

إن العديد من المؤسسات هذه الأيام بغض النظر عن حجمها وإيراداتها وصناعاتها 
وموقعها وأنشطة أعمالهاء تقوم باستثمارات واسعة النطاق في مجال نظم تقنية ا معلومات 
وموارد تقنية المعلومات المرتبطة بها. ومع ذلكء وفي حالات كثيرة جد فإنه وببساطة 
لايتم تحقيق تلك القيمة لتقنية المعلومات. على سبيل المشالء في عام ۲٠١۷‏ أوضحت 
الدراسة التي أجرتها شركة جارتنر 621061 المتخصصة في أبحاث تقنية المعلومات أن >٠١‏ 
من إجمالي النفقات في تقنية المعلومات قد تم إهدارها". وهذه النتيجة توضح أن إجمالي 
الهدر على الصعيد العالمي نحو 7٠١‏ مليار دولار أمريي سنوياً. وفي دراسة مشابهة أجرتها 
شركة جولدمان ساكس 5225 60101232 عام 7٠٠١5‏ على عدد من المديرين التنفيذيين 
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للمعلومات 0105 والمصنفين بأنهم أكبر ٠٠٠١‏ مدير تنفيذي للمعلومات» وجدت أن ما 
يقرب من >٤١‏ في المتوسط من إجمالي النفقات في مجال تقنية المعلومات لا عائد منها على 
المؤسسة'". النقطة الرئيسية هنا هي أن العديد من المؤسسات لا تقوم بقياس أو تقييم 
قيمة استثماراتها الجارية في مجال تقنية المعلومات. وهذا يعد خسارة كبيرة من منظور 
حوكمة تقنية المعلومات. 


شكل توضيحي (۳-۱۷) 
إطار عمل قيمة تقنية المعلومات 1۲ 5/21 





تقدم المواد“ الخاصة بالإطار ۷١1 1١‏ الصادر عن معهد حوكمة تقنية المعلومات 1۲61 
إرشادات خاصة بتقييم القيمة المكتسبة من استثمارات تقنية المعلومات. إن إيجاد قيم 
معتمذة غل :تقنية اعوسات فقلاً عن أنها ليست بالأمر السهلء فإن معظم المؤسسات 
يظهر عليها واحد أو أكثر من الأعراض التالية التي تم تلخيصها واقتباسها من المواد ا منشورة 
والخاصة بإرشادات الإطار 1١‏ 1781 
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اتفاقيات مستوى الخدمات (ئ514) 


٠‏ مشاكل في تقديم القدرات التقنية: إن إدارات تقنية المعلومات لدى العديد من 
المؤسسات ليست على مستوى كاف من النضج لتقوم بتقديم القدرات التقنية اللازمة 
لدعم العمليات التشغيلية للأعمال ولتمكين تغير الأعمال على نحو كاف وفعال. وهذا 
التحدي يسلط الضوء على ضرورة تحسين عمليات حوكمة وإدارة تقنية المعلومات إما قبل 
أو بالتزامن مع تقديم ممارسات إدارة القيمة. 

٠‏ محدودية أو عدم معرفة نفقات تقنية المعلومات: في كثير من الأحيان نجد أن كبار 
المديرين في المؤسسة يفتقرون للرؤية الواضحة الكافية فيما يتعلق بالنفقات الخاصة 
بتقنية المعلومات, وكذلك الاستثمارات في مجال تمكين تقنية ا معلومات في جميع الخدمات 
والأصول وغيرها من موارد تقنية المعلومات لديهم. ونجد في أغلب الأحيان أن صناع 
القرار يمكنهم فقط توقع حجم الإنفاق على الاستثمارات الخاصة بتقنية المعلومات وحجم 
الفائدة التي ستعود عليهم جراء هذا الإنفاق وما يمكن أن تكون عليه الجدوى الاقتصادية 
الكاملة جراء هذا الالتزام. ويتم تمويل النفقات غالباً من ميزانيات غير منسقة. مما 
يؤدي إلى ازدواجية وتضارب كبيرين في عملية طلب الموارد. هذا بالإضافة إلى أنه في كثير 
من الأحيان نجد أن الإدارة لا تركز على قضايا حساب التكاليف والتسعير الخاصة بتقنية 
المعلومات في مراجعاتها الخاصة بوضع ميزانيات تطبيقات تقنية المعلومات. 

٠‏ تنازل الأعمال عن عملية صنع القرار لصالح إدارة تقنية المعلومات: عندما تكون الأدوار 
والمسؤوليات والمساءلات المتعلقة بإدارة تقنية المعلومات في المؤسسة غير واضحةء عندها 
ستقوم إدارات تقنية المعلومات بانتزاع مقعد القيادة. وتحديد الاستثمارات المطلوبة في 
مجال الأعمال المعتمدة على تقنية المعلومات التي يجب البدء بهاء إذ إنها تقوم بوضع 
أولويات لتلك الاستثمارات من وجهة نظرها المحدودة. مما يؤدي بشكل غير صحيح إلى 
تجريد الأعمال من مسئولياتها في تحديد الجدوى الاقتصادية والدفاع عنها والتي تستخدم 
لتبرير كل قرار من القرارات المتعلقة بالاستثمار في مجال تمكين تكنولوجيا المعلومات. 

٠‏ ضعف التواصل بين إدارات تقنية المعلومات والأعمال: يعتبر التعاون الوثيق بين إدارات 
تشغيل تقنية المعلومات وإدارات الأعمال الأخرى بمثابة القضية الحاسمة في عملية خلق 
القيمة المكتسبة من تقنية المعلومات. فعند غياب مثل هذه الشراكة. سيتأثر التواصلء 
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الفصل السابع عشر 


وتتزايد أوجه القصورء ويظهر الفشل في أوجه التوافق في النشاطء وتأخذ ثقافة التنصل 
وإلقاء التهم واللوم في الانتشار داخل بيئة العمل. في بعض الحالات نجد أن إدارة تقنية 
المعلومات تتحول كثيراً إلى دور التابع بدلا من دور المبتكر. كما يتم إشراكها في الاقتراحات 
الخاصة بالاستثمارات في وقت متأخر جداً عن عملية اتخاذ القرار لدرجة لا تستطيع معها 

أن تسهم في هذه الاستثمارات بقيمة كبيرة. وفي حالات أخرى يتم إلقاء اللوم على إدارة 
تقنية المعلومات لعدم تقدهها لقيمة من الاستثمارات الخاصة بتمكين تقنية المعلومات 
- وهي القيمة التي لا يمكن تحقيقها إلا من خلال الشراكة بين إدارة تقنية المعلومات 
وإدارات الأعمال الأخرى. 

٠‏ التشكيك في قيمة تقنية المعلومات: مما يثير السخرية ‏ أنه على الرغم من استمرار 
المؤسسات في الاستثمار أكثر وأكثر في الموارد التقنية» فإن العديد من كبار المسؤولين 
التنفيذيين يتساءلون كثيراً حول ما إذا كانت القيمة المناسبة من هذه الاستثمارات قد تم 
تحقيقها بالفعل أم لا. حيث يكون التركيز الأكبر غالباً على إدارة التكاليف الخاصة بتقنية 
المعلومات بدلاً من فهم وإدارة ومحاولة الاستفادة من الدور الذي تلعبه إدارة تقنية 
المعلومات في عملية خلق قيمة ملموسة من الأعمال. فعندما تنطوي استثمارات تقنية 
المعلومات على تغيرات تنظيمية كبيرة وبشكل متزايد. فإن الفشل في تحويل الترکیز من 
التكلفة إلى القيمة سيظل مستمراً ليكون هو العائق الأكبر أمام تحقيق القيمة المرجوة من 
هذه الاستثمارات المتعلقة بتقنية المعلومات. 

٠‏ إخفاقات كبيرة في الاستثمارات: عندما تتعثر مشاريع تقنية المعلومات, فقد تكون 
تكاليف الأعمال المرتبطة بها هائلة ومرئية بشكل ملحوظ. حيث يمكن أن تؤدي عملية 
إلغاء المشاريع إلى آثار غير متوقعة ومكلفة جداً في الأعمال كما أن التجاوزات التي تحدث 
في الميزانية المخصصة يكن أن تؤدي إلى حرمان المشاريع الأخرى من الموارد الحيوية 
الخاصة بها. وفي كثير من الأحيان يتم تجاهل هذه المشاكل حتى تصل إلى حد يكون فيه 
الوقت متأخراً لاتخاذ أي إجراء تصحيحي. 

يمكن مشاهدة هذه 00 في العديد من إدارات تقنية المعلومات المؤسسية. ففي 
كثير من الأحيان نجد أن إدارة تقنية المعلومات تقود شركاءها في الأعمال من خلال الطلبات 
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اتفاقيات مستوى الخدمات (ئ514) 


الخاصة بوضع أولويات وطرح خدمات جديدة دون النظر إلى قيمتها الإجمالية التي ستعود 
على المؤسسة جراء تلك النفقات. لذا يجب أن تعمل مواد الإطار ۷11١‏ على تشجيع 
جميع المشاركين على أخذ نظرة أعمق على القيمة العائدة من استثمارات تقنية ا معلومات 
وخدماتها. وربمما الأهم من ذلك هو أن يعطي الإطار ۷11١‏ الفرصة لكبار المديرين للتركيز 
على المجالات المتعلقة بتحقيق قيمة أكبر من العمليات الخاصة بحوكمة عمليات تشغيل 
تقنية المعلومات. 


إطلاق مبادرة لإدارة القيمة المكتسبة من تقنية المعلومات: 
تم تصميم ال مواد الخاصة بإطار العمل ۷11١‏ الصادر عن معهد حوكمة تقنية المعلومات 
01 لتوفير الإرشادات لإدارات تقنية المعلومات في المؤسسة والإدارة العليا التي تقوم 
بتمويل موارد تقنية ا لمعلومات وجميع أصحاب المصالح المستفيدين من تلك الأنشطة 
الخاصة بتقنية المعلومات. من ناحية أخرىء ونظراً لأن هذه الإرشادات الخاصة بأفضل 
الممارسات تنشر من قبل أحد المصادر ذات الصلة بجمعية ضبط نظم المعلومات وتدقيقها 
4 (وليس على سبيل المثال في أحد مطبوعات عضو مجلس إدارة في مؤسسة)ء فإن 
هذه الإرشادات م تلق الاهتمام اللازم والكافي من قبل الإدارة العليا. ومع ذلك يعد الإطار 
1 1 أحد مجموعات المواد الرائعة اللازمة لدعم حوكمة تقنية المعلومات ودعم عمليات 
تحسين الضوابط الداخلية. 
يجب على الإدارة العليا أن تناقش المسائل المتعلقة بالقيمة المكتسبة من تقنية المعلومات 
مع كل من إدارة تقنية المعلومات وإدارة عمليات التشغيل. والتفكير في إطلاق مبادرة 
لإدارة القيمة المكتسبة من تقنية المعلومات. إن أحد أفضل الطرق لمعرفة جاهزية املؤسسة 
للبدء في برنامج لإدارة القيمة المكتسبة هي مراجعة وتقييم المبادئ الخاصة بالإطار 1١‏ ۷41 
ومدى التزاماته للعمل على تنفيذها. وتتضمن هذه المبادئ ما يلي: 
٠‏ يجب أن دار استثمارات تقنية المعلومات كمحافظ استثمارية. كما وضحنا في الفصل 
الرابع عشر من هذا الكتاب. 
٠‏ يجب أن تتضمن استثمارات تقنية المعلومات النطاق الكامل للأنشطة اللازمة لتحقيق 
القيمة المكتسبة للأعمال من هذه الاستثمارات. 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات orv‏ 


الفصل السابع عشر 


٠‏ يجب إدارة استثمارات تقنية المعلومات من خلال دورات الحياة الاقتصادية الكاملة 


الخاصة بها. 

٠‏ ينبغي أن تعي ج جميع الممارسات الخاصة بتقديم القيمة في جميع أنحاء المؤسسة بأن 
هناك فئات مختلفة من الاستثمارات» ومن ثم فإنه يتم تقييم وإدارة تلك الاستثمارات 
ETE‏ 


٠‏ يجب على ممارسات تقديم القيمة أن تحدد وتراقب المقاييس الرئيسية» وأن تستجيب 
بشكل سريع لأي تغيرات أو انحرافات. 

٠‏ يجب على ممارسات تقديم القيمة إشراك جميع أصحاب المصالح في المسؤولية المناسبة 
وتقديم القدرات وتحقيق الفوائد الخاصة بالأعمال في ظل وجود المراقبة والتقييم 
وعمليات التحسين اة 

إن مديري تقنية ال معلومات وكبار المديرين ا معنيين بعمليات تقنية ال معلومات الخاصة 
با مؤسسة- أو يجب أن يكونوا - هم المعنيين بشكل مباشر بالإشراف على الممارسات الخاصة 
بإدارة القيمة أو تنفيذها. فاستناداً إلى ا مواد الخاصة بإطار 1۲ ۷1ء لا بد من عقد لقاء ما 
بين مديري تقنية ال معلومات ومديري الأعمال في المؤسسة لتقييم مدى استعدادهم للانتقال 
نحو إدارة قيمة تقنية ا معلومات. ويقدم الشكل التوضيحي (6-17) مجموعة من الأسئلة 
والتأكيدات لمدى استعداد إدارة تقنية المعلومات لتقييم جاهزية المؤسسة للانتقال نحو 

إدارة تلك القيمة المتمثلة في تقنية المعلومات. 


يتعين على إدارة تقنية المعلومات التأمل في هذه الأسئلة والنقاط الموضحة بالشكل 
التوضيحي (6-17) فيما إذا كانت المؤسسة وفريق إدارة عمليات التشغيل على علم بأهمية 
إدارة القيمة المكتسبة وأنهم قاموا باتخاذ الخطوات اللازمة نحو تطبيق هذا المفهوم. بكل 
تأكيد فإن جميع الأطراف - إدارة تقنية المعلومات وإدارة عمليات التشغيل - بحاجة إلى 
إقناعهم ا إذازة القيمة المكنسبة من ثقنية اللعلوفات؛ 


o۸‏ دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


اتفاقيات مستوى الخدمات (51,45) 


شكل توضيحي )٤-۱۷(‏ 
تقييم الجاهزية لإدارة القيمة المكتسبة من تقنية المعلومات 

.١‏ هل جميع استثمارات تقنية المعلومات سواء كانت تطبيقات آم شبكات أو الاتصالات الخاصة 
بالخوادم» تدار كمحفظة استثمارية؟ 

۲. هل تتم إدارة جميع استثمارات تقنية المعلومات لتشمل النطاق الكامل للأنشطة المطلوبة لتحقيق 
أهداف الأعمال المرجوة من تلك الاستثمارات؟ 

. هل تدار استثمارات تقنية ا معلومات من خلال دورات الحياة الاقتصادية الكاملة الخاصة بهاء 
ابتداء من تكاليف إطلاق الاستثمار أو شرائه مروراً بتكاليف التشغيل الاعتيادية وصولاً إلى نهاية 
الاستثمارات؟ 

.٤‏ هل تدرك تقنية المعلومات والإدارة بأنه يجب أن يكون هناك فئات مختلفة من الاستثمارات 
المتعلقة بتقديم القيمة. حيث يجب أن تتم إدارتها وتقييمها بشكل مختلف؟ 


5. هل لدى عملية تقديم القيمة مقاييس رئيسية تم تحديدها لمتابعة أي تغيرات أو انحرافات والرد 
عليها بشكل سريع؟ 

. هل يبدو على ال ممارسات الموضوعة لتقديم القيمة المكتسبة أنها تقوم بإشراك أصحاب ال مصالح 
وإسناد المساءلة المناسبة لتقديم القدرات وتحقيق المنافع والفوائد الخاصة بالأعمال؟ 


۷. هل هناك عمليات متابعة وتحسين مستمرة ومعمول بها على جميع الممارسات الخاصة بتقديم 
القيمة؟ 





تدعو الإرشادات المنشورة والخاصة بإدارة القيمة المؤسسة إلى أن تشارك بشكل أكبر 
في أفضل الممارسات الخاصة بإدارة القيمة. فهي تدعو المؤسسات وأصحاب المصالح ممن 
لديهم رؤية مبدئية فيما يخص إدارة القيمة إلى تطوير الفهم والوعي والالتزام بامبادئ 
وا ممارسات الخاصة بإدارة القيمة. واستناداً إلى هذا التقييم المبدنيء مكق الا سحلي 


اکر تفصيلاً 5 ف على المجالات الخاصة بإطار قيمة تقنية ا معلومات '11 7721 
فيما يتعلق بحوكمة القيمة المكتسبة وإدارة المحافظ وإدارة الاستثمارات الخاصة بتقنية 
المعلومات. 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات o۹‏ 


الفصل السابع عشر 


الشروع في إدارة القيمة المكتسبة: 

تعتبر المفاهيم الخاصة بإطار 178111 هامة بالنسبة للحوكمة الفعالة لتقنية ا معلومات. 
ومن الطرق الفعالة للبدء في عملية إدارة القيمة المكتسبة تقييم الجاهزية الحالية من 
خلال استخدام أسئلة تقييم الجاهزية الموضحة في الشكل التوضيحي (/6-1). وبمجرد 
إتمام هذا التقييم» فإن النتائج ستقدم لنا الأساس اللازم لتحديد المطلوب إضافته من الحالة 
الحالية لإدارة القيمة المكتسبة إلى الحالة المستقبلية لهاء ووضع أوليات ما يجب تطويره. 

استناداً إلى المواد المنتشورة الخاصة بإطار العمل ۷411١‏ والصادرة عن معهد حوكمة 
تقنية المعلومات 1161: فإن الخطوات الخمس التالية تلخص كيف هكن تطبيق إطار 5701 
117 وإدارة القيمة المكتسبة في المؤسسة. وقد تكون الاختلافات بين المؤسسات كبيرة. لذلك 
فإن ال مواد الإرشادية الخاصة بإطار '117 تصف فقط عدداً معدودا من نقاط البدء. 

خطوة :)١(‏ بناء الوعي والفهم لإدارة القيمة: نجد في العديد من المؤسسات أن صناع 
القرار وأصحاب المصالح الرئيسيين لا يقدرون أهمية خلق القيمة المكتسبة أو الحاجة إليها 
كما يجب. فهذا المفهوم الخاص بالقيمة المكتسبة لا يظهر بشكل طبيعي من خلال خطط 
وأنشطة الأعمال الاعتيادية فحسب؛ بل يلزم أن يتشكل بفاعلية. ولعل المشكلة هنا تظهر 
في أنه على الرغم من أن مفاهيم إدارة القيمة المكتسبة موجودةٌ منذ عقود. فإن فكرة إيجاد 
القيمة والحفاظ عليها من خلال تغيير الأعمال في المؤسسات الحديثة يكون التعامل معها 
عادة على أنها مبدأ ضمني. 

بالنسبة للعديد من المؤسسات لا يوجد هناك فهم موحد ومشترك يلا يمكن أن يشكل قيمة 
للمؤسسة» وما مستوى العمل والجهد المطلوب لتحقيق تلك القيمة أو كيف يمكن قياس تلك 
القيمة. مما كان له بالغ الأثر في العديد من المؤسساتء وضياع أو فشل تنفيذ العديد من 
الفرص التي كان من شأنها إيجاد القيمةء مما أدى إلى تآكل مفهوم القيمة أو تدميره. 

إن مديري العمليات التشغيلية والمديرين الماليين ومديري تقنية المعلومات في اممؤسسة 
بحاجة إلى إيجاد قاعدة واسعة من الوعي بضرورة الحاجة إلى إدارة القيمة وتنشئة الوعي 
ماهومظلتوبلتظوير هذة القدرة متضمنا ذلك التزامنات ذَاخَلية:قوية خاضة بالإذارة 
والسلطة التنفيذية لتحسين إيجاد القيمة والإبقاء عليها رور الوقت. 


06 دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


اتفاقيات مستوى الخدمات (51,45) 


في ظل الفهم القوي لإدارة القيمة» يجب أن تتغير السلوكيات التنظيمية والفردية لإلقاء 
نظرة أوسع على مستوى المؤسسة بالكامل واتباع نهج أكثر انضباطاً واعتماداً على القيمة 
لصنع القرار. كل هذا من شأنه أن يؤدي إلى الإدراك والقبول المتزايد لضرورة أن تعمل 
إذارات تقنية المعلومات مع غيرها من إدارات الأعمال معا في إطار من الشراكة المدعومة 
بأدوارء ومسئوليات ومساءلات واضحة تتعلق بإدارة القيمة مما يقودنا إلى تحقيق قيمة 
أكبر من الاستثمارات الخاصة بتمكين تقنية المعلومات. 

خطوة (۲): تطبيق حوكمة قوية لتقنية المعلومات: إن العمليات والأدوار والمسؤوليات 
والمساءلات المرتبطة بتحقيق القيمة المكتسبة من الاستثمارات الخاصة بتمكين تقنية 
المعلومات بحاجة إلى تحديد وقبول بشكل واضح. ففي كثير من الأحيان تكون الأدوار 
والمسؤوليات والمساءلات الخاصة بتقنية ا لعلومات غير واضحة إذا ما قورنت بغيرها من 
إدارات الأعمال. في بعض الأحيان يتم صنع القرارات المرتبطة بالأعمال من قبل إدارة تقنية 
ا معلومات» في حين أن القرارات المرتبطة بتقنية المعلومات يتم صنعها من قبل الأعمال. في 
بيئة كهذه تكون ثقافة اللوم والتنصل وإلقاء التهم هي السائدة, وذلك في ظل الالتباس 
المستمر فيما يخص المساءلة والمسؤولية والرعاية. 

تحتاج المؤسسة إلى وضع إطار عمل خاص بحوكمة تقنية المعلومات مع تحديد 
واضح للأدوار والمسؤوليات والمساءلات. وينبغي أن يكون هذا الإطار مدعوماً بقيادة 
قوية وملتزمة, وعمليات مناسبةء وهياكل ومعلومات تنظيمية. ونظام مكافآت ملائم. في 
ظل إطار لحوكمة المعلومات مثل هذا يجب أن تنمو التوجهات والسلوكيات التنظيمية, 
والفردية نحو رؤى أعمق وأكثر إستراتيجية للمؤسسة. لذا يتعين على المسؤولين التنفيذيين 
ومديري تقنية المعلومات وعمليات التشغيل أن يعتمدوا نهجاً أكثر انضباطاً واعتماداً على 
القيمة المكتسبة في اتخاذ قراراتهم ومساءلاتهم. ففي ظل وجود حوكمة قوية لتقنية 
المعلوماتء ينبغي أن تؤدي البيئة الأكثر كفاءة في صنع القرار إلى رفع مستوى الثقة بين 
إدارة تقنية المعلومات وباقي إدارات الأعمال الأخرى. وستكون النتيجة تحقيق قيمة أكبر 
من الاستثمارات الخاصة بتمكين تقنية المعلومات. 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات o‏ 


الفصل السابع عشر 


خطوة (*): إجراء جرد لاستثمارات تقنية المعلومات: بالنسبة للعديد من المؤسسات» 
هناك رؤية ضعيفةء هذا إن وجدت» فيما يتعلق بعدد ونطاق وتكلفة الاستثمارات الخاصة 
بتمكين تقنية المعلومات الحالية والمخطط لها أو الموارد. سواء المخصصة للاستثمارات أم 
اللازمة لدعم تلك الاستثمارات. في كثير من الأحيان يكون إجمالى نفقات تقنية المعلومات 
في المؤسسة غير معلوم. وتأق هذه النفقات غالباً من ميزانيات مختلفة وغير منسقة وبقدر 
كبير من الازدواجية. ففي العديد من المؤسسات يحدث عادة صراع كبير على طلب الموارد 
الخاصة بتقنية المعلومات. 

ولحل هذه المشكلة لا بد للمؤسسة من إنشاء محافظ للاستثمارات والخدمات والأصول 
وغيرها من الموارد المتعلقة بتقنية المعلومات سواء كانت مقترحة أم فعلية. وهذا المفهوم 
أكبر حتى من أفضل الممارسات للإطار آيتل الخاصة بإدارة التهيئة والتي تمت مناقشتها 
في الفصل السادس من هذا الكتاب. ونتيجة لعملية إنشاء هذه المحافظء لا بد أن يتغير 
السلوك والتوجهات التنظيمية والفردية لتشمل الرؤية الواسعة للمؤسسة» لذا لا بد من 
وجود العمليات والممارسات المعمول بها لدعم ذلك. 

أهم الفوائد التي تعود من عملية جرد كهذه للاستثمارات الخاصة بتقنية المعلومات 
هي زيادة الفهم والإدراك معرفة ما تم إنفاقه بالضبط وعلى أية استثمارات تخص تقنية 
المعلومات» وفي أي مجال من مجالات الأعمال كانت تلك الاستثمارات» ومن هو المسئول 
عنها. الفائدة الأخرى هي التحديد الأفضل للفرص لزيادة القيمة المكتسبة من خلال ضبط 
عملية تخصيص التمويلء والحد من التكلفة الإجمالية للمؤسسة عن طريق إزالة التكرارات» 
والاستخدام الأكثر فاعلية للموارد. وتقليل المخاطر من خلال الفهم الأفضل لتلك المحافظ 
الخاصة بتقنية المعلومات. 

خطوة :)٤(‏ توضيح قيمة الاستثمارات الفردية لتقنية المعلومات: بالنسبة للعديد من 
المؤسسات إن م يكن معظمهاء لا توجد عملية تطبيقية تتم بشكل متناغم لتحديد قيمة 
الاستثمارات المحتملة أو الحالية لتقنية المعلومات. إنما هكن تحديد هذه القيمة بأنها صافي 
إجمالي فوائد دورة الحياة من إجمالي تكاليف دورة الحياة المهيئة للمخاطر وعلى أساس القيمة 
الزمنية للأموال. ونتيجة لذلك» فإن بعض أصحاب المصالح يتساءلون باستمرار عما إذا كانت 


oer‏ دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


اتفاقيات مستوى الخدمات (51,45) 


استثمارات تقنية المعلومات قد أوجدت قيمة أم لا. تكون دراسة الجدوى الخاصة باستثمارات 
تمكين تقنية ا معلومات غالباً غير موجودة أو سيئة الإعدادء ويتم التعامل معها عادة من قبل 
إدارة تقنية المعلومات على أنها مجرد مرجعية إدارية لازمة فقط لتأمين التمويل. يوجد القليل 
إن م يكن لا شيء من معلومات ما قبل الاستثمار عن تكاليف تقنية المعلومات كما لا يوجد أي 
دقة في التحليل لتحديد تلك الفوائد أو القيمة. لا يوجد سوى القليل من المقايبس التي تمكن 
من متابعة ورصد القيمة التي بصدد الإنشاء أو التي تم إيجادها. في كثير من الأحيان نتصور 
أن التقنية أو إدارة تقنية المعلومات سوف تقدم قيمة سحرية. 

يجب على المؤسسة أن تضع عملية خاصة بتطوير وتحديث دراسات الجدوى 
Business 5‏ الشاملة والمعدة بشكل ملائم فيما يتعلق بالاستثمارات الخاصة بتمكين 
تقنية المعلومات. متضمناً ذلك جميع النشاطات المطلوبة لخلق القيمة. كما يجب وضع 
دراسة الجدوى باستخدام نهج من أعلى - لأسفل. بدءاً من صياغة نتائج الأعمال المرجوة 
بشكل واضح واستكمالاً بوصف الإجراءات المطلوب إنجازها وعلى يد من ستتم. كما أن 
دراسات الجدوى هذه يجب أن يتم تحديثها واستخدامها أداة تشغيلية خلال دورة الحياة 
الاقتصادية الكاملة الخاصة باستثمار تقنية المعلومات. 


ونتيجة لهذه العمليةء فإن التوجهات والسلوكيات التنظيمية والفردية لا بد أن تتغير 
لتكريس المزيد من الجهد المبذول للتخطيط لاستثمارات تقنية المعلومات وتطوير دراسات 
الجدوى وتحديثها بشكل مستمر. إن من شأن التقييم الأكثر موضوعية لدراسات الجدوى 
الخاصة باستثمارات تقنية المعلومات أنه كن من عمل مقارنات أفضل وأكثر موضوعية 
بين الأنواع المختلفة من الاستثمارات الخاصة بتقنية المعلومات. فهناك فرص أكبر لمقارنة 
الاستثمارات الفردية استناداً إلى قيمتها النسبية مقارنة بالاستثمارات الأخرى المتاحة وكذلك 
استناداً إلى مسار سجل 266054 1801 قوي لاختيار الأفضل. كما يجب أن يكون هناك أقل 
مستوى من عدم التأكد وا مخاطر من أن القيمة المستهدفة لن تتحقق. 

الخطوة (0): إجراء تقيبمات وترتيب أولويات واختيارات لاستثمارات تقنية 
المعلومات: لا يوجد حالياً أي عملية تطبيقية مستمرة لإجراء تقييم موضوعي للقيمة 
النسبية لجميع استثمارات تقنية المعلومات المقترحة والحالية. خاصة فيما يتعلق بتحديد 
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الأولويات والاختيار من بين استثمارات تقنية المعلومات ذات القيمة المحتملة الأكبر. إن 
العديد من القرارات الاستثمارية الخاصة بتقنية المعلومات في ا مؤسسة هذه لأيام غ کا 
موضوعية ة وتكون سياسية غالباً. فمجرد اتخاذ القرار با مضي قا في استثمار ماء فمن 
النادر جداً إعادة النظر فيه ما لم تحدث بعض الأزمات الحرجة. إذ يتم نادراً علاج أو إلغاء 
استثمارات تقنية المعلومات السيئة التنفيذ في الوقت المناسب والكافي للتقليل من الخسائر. 
فإذا تم إلغاؤهاء فإنهم ينسبون الفشل إلى شخص ما ويجب تحميله المسئولية ومحاسبته. 

إن الحل الخاص بإطار العمل ۷11١‏ هو تطبيق نظم إدارة المحافظ لتصنيف استثمارات 
الأعمال المعتمدة على تقنية المعلومات. كما يجب على المؤسسة أن تُنشئ معايير وتقوم 
بتطبيقها بصرامة لدعم عمليات التقييم المتناغمة والمتجانسة للاستثمارات طوال دورة 
حياتها الاقتصادية بالكامل. ونتيجة لذلك. فإن التوجهات والسلوكيات التنظيمية والفردية 
يجب أن تتغير لتشمل النظرة الواسعة لدى المؤسسة وتبني مزيد من الشفافية. 

إن الفائدة من هذا النهج المكون من الخطوات الخمس هي الفرص المتزايدة لخلق 
القيمة من خلال اختيار استثمارات تقنية المعلومات الأكثر احتمالاً لتقديم القيمة. ويجب 
أن تتبع هذه الفرصة إدارة فعالة لتلك الاستثمارات والإلغاء المبكر للاستثمارات التي يبدو 
أنها لن تستطيع أن تحقق القيمة المرجوة. وتقدم مواد الإطار 178117 المزيد من التفاصيل 
ال مرتبطة بتلك المنهجيات. 

يقدم الإطار ۷11١‏ إرشادات مفيدة وعمليات وممارسات مجربة في حوكمة واختيار 
وإدارة الاستثمارات الخاصة بتمكين تقنية المعلومات. ويصف الإطار 1781171 العمليات 
المترابطة التي من الضروري أن تكون في موضع التنفيذ إذا ما أرادت المؤسسات أن تضمن 
القيمة المكتسبة الأمثل من استثماراتها. لم يقم هذا القسم إلا بتسليط الضوء واستخراج 

بعض المواد من المواد الإرشادية الخاصة بقيمة تقنية المعلومات. إن إطار 1۲ ۷41 هو 
58 المفاهيم الخاصة بحوكمة تقنية المعلومات» وهو مفيد للغاية في تقييم القيم النسبية 
لتقنية المعلومات الموجودة في عمليات إطلاق التطبيقات الجديدة لتقنية المعلومات وبناء 
الضوابط العامة للإدارة. 4 من ذلك هو ضرورة وصول تلك المفاهيم الخاصة بقيمة 
تقنية المعلومات إلى إدارة تقنية المعلومات والإدارة العليا ليتمكنوا من فهم استثماراتهم في 
موارة تفنب اللعلومات عاق .قحو أفضل. 
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الجزء الخامس 
ش ة المؤسسة ومجلس الإدارة 
متابعة وقياس حوكمة إدارة المؤسسة ومح 


ليك 


الفصل الثامن عشر 
إدارة محتوى المؤسسة 


يصف مصطلح إدارة محتوى المؤسسة 8021, وهو أحد مصطلحات إدارة تقنية 
المعلومات التي لم تكن شائعة حتى السنوات الأولى من القرن الحاليء الإستراتيجيات 
والأساليب والأدوات المستخدمة لحيازة وإدارة وحفظ وتقديم المحتوى والوثائق ذات 
الصلة بالعمليات التنظيمية. وقد أصبحت الآن إحدى المجموعات الخاصة بأنشطة تقنية 
المعلومات التي تشهد نمواً سريعاً فإدارة محتوى المؤسسة عبارة عن سلسلة من العمليات 
التي تغطي إدارة المعلومات داخل نطاق المؤسسة بالكامل بغض النظر عما إذا كانت 
تلك المعلومات على هيئة وثائق ورقية أو ملفات إلكترونية أو بيانات مطبوعة من قاعدة 
البيانات أو رسائل البريد الإلكتروني أم بيانات مخزنة في البيئة السحابية لتقنية المعلومات 
أو على أي هيئة من الهينات العديدة الأخرى المتطورة للمعلومات والبيانات. وتهدف 
عمليات إدارة محتوى المؤسسة في المقام الأول إلى إدارة دورة حياة المعلومات ابتداءً من 
إنشائها مروراً بأرشفتها وحتى التخلص منها في نهاية المطاف. 

تهدف إدارة المحتوى المؤسسي إلى جعل إدارة معلومات الشركات والوثائق الداعمة لها أكثر 
سهولةء وذلك من خلال تبسيط تخزينها وأمنها وضبط إصداراتها وتوجيه معالجتها والقدرة 
على الاحتفاظ بها. إن الفوائد التي تعود على المؤسسة جراء استخدامها للعمليات الفعالة 
لإدارة المحتوى تتضمن كفاءات محسنة وضوابط أفضل وتكاليف أقل. على سبيل المثال» 
تستخدم معظم البنوك هذه الأيام عمليات إدارة ا محتوى المؤسسي للاحتفاظ بالنسخ الورقية 
من الشيكات القدهة بدلاً من الطريقة القدهة لحفظ الشيكات الورقية في مستودعات ورقية 
ضخمة. فطبقاً للأنظمة القدمة والتقليدية, فإن طلب العميل الخاص بالحصول على نسخة 
من شيك قد يستغرق عدة أسابيع» حيث كان يجب على موظفي البنك الاتصال با مستودع 
ممخاطبة شخص كان دوره تحديد موقع الصندوق وال ملف والشيك المطلوبين ومن ثم يقوم 
بسحب الشيك وعمل نسخة منه ومن ثم إرساله إلى البنك من خلال البريد. والذي يقوم في 
النهاية بإرساله إلى العميل بواسطة البريد. أما في حال وجود نظام لإدارة المحتوى اللعمول به 
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في المؤسسة فإن موظف البنك يستطيع بكل بساطة أن يقوم بالبحث في النظام عن حساب 
العميل ورقم الشيك المطلوب. وبمجرد ظهور صورة الشيك على شاشة الحاسب» يستطيع 
الموظف إرساله فوراً إلى العميل عبر البريد الإلكتروني» وذلك أثناء انتظار العميل على الهاتف. 

تستطيع العمليات الفعالة لإدارة ا محتوى المؤسسي أن تعمل على خفض التكاليف 
وتحسين العمليات» سواء كانت هذه العمليات تخص الشيكات في أحد البنوك أو أي 
مجموعة متنوعة من الوثائق الورقية الأخرى. إن العمليات الفعالة لإدارة المحتوى المؤسسي 
تعد من الأدوات الهامة التي تساعد في تعزيز حوكمة تقنية المعلومات في المؤسسة. يقدم 
هذا الفصل المفاهيم الخاصة بإدارة المحتوى المؤسسي 8021 ويناقش المجالات التي 
يستطيع المدير التنفيذي من خلالها تحسين جميع عمليات حوكمة تقنية المعلومات من 
خلال تطبيق عمليات إدارة المحتوى المؤسسي 


خصائص إدارة المحتوى المؤسسي ومكوناتها الرئيسية في المؤسسة اليوم: 

تشتمل العوامل التي تشجع الأعمال والشركات على تبني واعتماد الحلول الخاصة بإدارة 
المحتوى المؤسسي على جميع :الخمقاجات اللازمة لزيادة كفاءة المعاملات الخاصة بالأعمالء 
وتحسين ضبط المعلومات» وخفض التكلفة الإجمالية لإدارة المعلومات بالنسبة للمؤسسة. 
حيث تعمل تطبيقات إدارة المحتوى في المؤسسة على تسهيل الوصول إلى السجلات من 
خلال عمليات البحث باستخدام الكلمات الرئيسية والنص الكاملء الأمر الذي يسمح 
للموظفين بالحصول على المعلومات التي يحتاجون إليها مباشرة من مكاتبهم خلال ثوان 
قليلة بدلا من البحث في تطبيقات متعددة أو استخراجها من السجلات الورقية. 

تستطيع نظم إدارة محتوى المؤسسة تعزيز ضبط ومراقبة السجلات لمساعدة المؤسسات 
على تحسين عمليات خدمة العملاء والامتثال للوائح الحكومية والصناعية مثل متطلبات 
قانون ساربينز أوكسلي <50.: التي تمت مناقشتها في الفصل الثاني من هذا الكتاب أو 
معيار أمن بيانات صناعة بطاقات الدفع (1055 501)» والذي جاء ذكره في الفصل الحادي 
عشر من هذا الكتاب. وتعد المهام الأمنية سواء كانت على مستوى المستخدم أو الإدارة, 
والخيارات الأمنية الخاصة بسجلات البيانات كذلك من المكونات الهامة في نظام إدارة 
المحتوى المؤسسي وذلك لحماية البيانات الحساسة. 
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كما يستطيع نظام إدارة المحتوى الموّسسي أن يقلل من الاحتياجات التخزينية والورقية 
والبريدية» ويزيد من كفاءة الموظفين» كما يؤدي أيضاً إلى قرارات مؤسسية أفضل وأكثر 
اة ووعياء وكلها أعور :من 5اا أن تقلل من التكاليف الإضافية لإدارة ا معلومات. يعد 
نظام إدارة المحتوى المؤسسي ترون هاما خاصة بالنسبة للمؤسسة التي لديها متطلبات 
لها علاقة بالاحتفاظ طويل الأجل بالمستندات والمتطلبات الخاصة بالاحتفاظ بأحجام كبيرة 
من المستندات. وفي ظل احتياجاتنا لوثائق مخصصة: يمكن لنظام إدارة المحتوى أن يساعد 
من خلال عمليات مدعومة بالتوقيع أو إدارة أصول رقمية لوسائط غنية أو إدارة تصاميم 
تقنية أو ضخمة الصياغة وغير ذلك. 

من ناحية أخرى» فإن نظام إدارة المحتوى المؤسسي لا يعد من الأنظمة المغلقة أو 
من فئة المنتجات الفريدة أو المتميزة. وتُستخدم عبارة عمليات إدارة ا محتوى المؤسسي 
مصطلحاً جامعاً يشير إلى مدى واسع من التقنيات الموضوعة في المؤسسة وا موردين الذين 
يتعاملون معها. ويعمل نظام إدارة المحتوى المؤسسي بشكل مناسب عندما يكون "غير 
مرفي" بصورة فعالة بالنسبة للمستخدمين. وتقوم تقنيات نظام إدارة المحتوى المؤسسي 
بدعم تطبيقات مخصصة مثل الخدمات الفرعية» وتكون تلك التقنيات غالباً عبارة عن 
مجموعة من المكونات الخاصة بالبنية التحتية التي تناسب النماذج ذات الطبقات المتعددة 
وتتضمن جميع التقنيات المرتبطة بالوثائق والسجلات الموجودة في المؤسسة لمعالجة وتقديم 
وإدارة كل من البيانات المركبة والمعلومات غير ا مركبة معاً. وعلى هذا النحوء فإن عمليات 
نظام إدارة المحتوى المؤسسي تعد إحدى المكونات الرئيسية والضرورية في مجال تطبيق 
الأعمال الإلكترونية الشاملة. 


عمليات إدارة المحتوى المؤسسي وحوكمة تقنية المعلومات: 

تعد إدارة محتوى المؤسسة إحدى الإستراتيجيات ا مستمرة والمتطورة للوصول إلى رفع 
مستوى كيفية استخدام جميع معلومات المؤسسة إلى الدرجة القصوى. حيث تسمح 
أدوات وإستراتيجيات إدارة المحتوى المؤسسي للمؤسسة بإدارة 03 من البيانات والمعلومات 
المركبة وغير المركبة الخاصة بأعمال المؤسسة بصرف النظر عن أماكن وجودها. وبالطبع 
فإن القيام فقط "بإدارة" هذا المحتوى من المعلومات لا يعد مرا كافياً. فالقدرة على 
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الوصول إلى الإصدار الصحيح لإحدى الوثائق أو السجلات يعد من الأمور الهامة ولكن 
يجب إدارة هذا المحتوى لكي يتم استخدامه بالشكل الذي يحقق أهداف الأعمال. ومن 
الممكن أن تكون الأدوات والتقنيات الخاصة بإدارة المحتوى المؤسسي هنا ضرورية وهامة 
للقيام بإدارة كامل دورة حياة المحتوى الوثائقي منذ إنشائه وحتى التخلص منه. 

إن إدارة المحتوى المؤسسي عبارة إستراتيجية مستمرة ومتطورة لزيادة الكيفية 
التي يجب من خلالها استخدام هذا المحتوى المعلوماق للمؤسسة والذي قد يكونُ 
أساسياً لنجاح العمليات التشغيلية لأعمال المؤسسة. وعلى الرغم من وجود العديد 
من البرمجيات والعروض الأخرى التي يقدمها الموردون» فإنه يجب على الإدارة أن تفكر 
في تنفيذ واستخدام نظام إدارة المحتوى المؤسسي من حيث مفاهيم الامتثال والتعاون 
والاستمرارية والتكلفة. 

على الرغم من حقيقة أن المؤسسات اليوم تواجه زيادات هائلة في أحجام ومستوى 
تعقيد أعمالها ونظمهاء فإن العديد منها لايزال يستخدم الطرق التقليدية القديمة نفسها 
القامة على التعامل مع الوثائق واحدة تلو الأخرى. وقد تفطن المؤسسة إلى أن بعض 
الكفاءات وعمليات حوكمة تقنية المعلومات قد تتحسن من خلال اعتماد عمليات إدارة 
المحتوى المؤسسي للمؤسسة. وكنقطة انطلاق فإنه يتعين على الإدارة أن تقوم بمراجعة 
دورة حياة محتوى الوثائق لديها. إن هذه الفكرة مشابهة لحديثنا عن دورات حياة تطوير 
النظم (5501.05) التي تناولها الفصل الخامس عشر من هذا الكتاب. لكن يجب أن يقوم 
هنا كل من فريق تقنية المعلومات والإدارة بوضع خريطة تفصيلية لمجريات تدفق أو سير 
العمليات الخاصة بالوثائق والمعلومات الحالية لمعرفة الأماكن التي يمكن أن يجدوا فيها 
تداخلات» وكذلك المجال الذي يمكن من خلاله التحسين في الإستراتيجيات الخاصة بتطبيقات 
الأعمال وتدفق المعلومات. 

تُظهر المعلومات التي تم جمعها حجم التعقيدات الكامنة في العمليات التي تتعامل 
مع إدارة محتوى منظمة ما. لذا يجب أن يكون الهدف هو بتاء محمازية لإدارة المختوى 
في المؤسسة. كما هو موضح في الشكل التوضيحي .)1-١18(‏ والذي قد يشمل العديد إن لم 
يكن كل من العناصر التالية: 
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إدارة محتوى المؤسسة 


٠‏ استحواذ نظام إدارة المحتوى المؤسسي (8021) على جميع الوثائق: يجب أن تركز 
عمليات إدارة المحتوى المؤسسي على حفظ وتتبع واستخدام المستندات كافةء سواء كانت 
وثائق ورقية أم رقمية أو وثائق لوسائط غنية كالفيديو أو الشعارات أو الصور. كما 
يجب أن تتعامل مستودعات الوثائق مع الوثائق المهيكلة وغير المهيكلة مع الإقرار بأن 
تلك الأصول الرقمية يكون لها قيمة عالية من الملكية الفكرية. ومن الممكن أن يكون 
مستودع الوثائق عبارة عن نظام ضخم ومعقد ويكلف مئات الآلاف من الدولارات» أو 
يكون نظاماً بسيطاً كنظام الملفات والمجلدات المستخدم في شركة صغيرة. والمهم أن يكون 
لديهم معلومات يمكن العثور عليها بمجرد أن يتم وضعها في النظام. 

٠‏ خبرة المستخدمين وأدوات التشارك: التعاون هو فن العمل بشكل جماعي. ويعد 
ضرورياً بالنسبة للتقنيات المرتبطة بإدارة المحتوى المؤسسي مثل الرسائل الفورية وألواح 
الكتابة (السبورات) والاجتماعات التي تتم عبر الإنترنت» ووسائل البريد الإلكتروني التي 
تسمح بإتمام العمل أينما وعندما يكون هناك حاجة إليه. ويسمح التعاون لأفراد بخبرات 
متكاملة أو متداخلة أن يقدموا نتائج أفضل وأسرع من ذي قبلء الأمر الذي يسمح 
لوحدات التشغيل وفرق الأعمال بالعمل سوياً في أي وقت» سواء كانوا في مكاتب متجاورة 
أم منفصلين بعضهم عن بعض في أي مكان في العام. 

٠‏ دورات حياة سير العمل: تعد الأدوات ضرورية لنقل المحتوى طيلة الدورات المحددة 
لعمليات العمل كالعمليات اللازمة ممعالجة المطالبات. ولابد من استخدام أدوات إدارة 
المحتوى المؤسسي في تطوير ونشر ومراقبة وتحسين عدة أنواع من التطبيقات الآلية. 
ويتضمن ذلك العمليات التي تشتمل على كل من النظم والناس. ترتبط دورات حياة سير 
الأعمال أيضاً مع العمليات اليدوية لإدارة الوثائق» كما يجب على دورات سوير العمليات 
معالجة الموافقات وتحديد الأولويات التي يتم بناء عليها ترتيب الوثائق والمستندات التي 
يتم تقدهها. وف الحالات الاستثنائية يقوم مخطط سير الأعمال بتصعيد قرارات مبنية 
على قواعد محددة سلفاً قد تم وضعها من قبل مالي النظام. 

٠‏ إدارة السجلات الخاصة بنظام إدارة المحتوى المؤسسي: في حين أن أي جزء من المحتوى 
يمكن تسميته سجلاً. إلا أنه يجب التعامل مع هذه العناصر وفقاً لجدول زمني للاحتفاظ 
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بها والذي يحدد المدة التي يتم الاحتفاظ خلالها بالسجلء ويكون ذلك بناء على اللوائح 
النظامية أو الممارسات التجارية الداخلية. كما أن هناك احتياجات لتخزين هذه السجلات 
المتعددة والمتنوعة بحيث يمكن استرجاعها عند الحاجةء وحذفها في نهاية المطاف في 
الأوقات المناسبة لاحقاً. 

٠‏ أدوات محتوى الويبء الوسائط الغنية: يجب أن تقوم عمليات إدارة المحتوى المؤسسي 
بمعالجة العمليات الخاصة بإنشاء المحتوى ومراجعته واعتماده ونشره على شبكة 
الإنترنت. وتشتمل البيانات الرئيسية للمحتوى الموجود على شبكة الويب على أدوات 
الإنشاء والتأليف أو التكامل وإدارة وتصميم المدخلات وقالب العرض وإدارة إعادة 
استخدام المحتوى وقدرات النشر الفعالة. 

٠‏ أدوات التشارك في نظام إدارة ا محتوى المؤسسي وأدوات الحوسبة الاجتماعية: تمكن 
التقنيات المستخدمة في التعاون أو التشارك المستخدمين المستقلين» ويه أو شركاء 
العمل» من أن يقوموا بسهولة بتشكيل فرق المشروع والحفاظ عليهاء بغض النظر عن 
الموقع الجغرافي. إن هذه التقنيات وأدوات الحوسبة الاجتماعية تقوم بتسهيل العمل 
التعاوني وإنشاء المحتوى القائم على الفريقء واتخاذ القرار لكل من نظم تقنية المعلومات 
التقليدية والعدد المتزايد لعمليات حوسبة الشبكة الاجتماعية في المؤسسة. كما أن هناك 
حاجة إلى الاحتفاظ بسجلات مناسبة لهذه الأنشطة. 

٠‏ البحث وتحليلات المحتوى: سواء كان بسبب الإستراتيجيات التسويقية أو الوصاية 
الحكومية أم غيرها من العواملء فا مؤسسات بحاجة متزايدة للقيام بمراجعة وتحليل 
العديد من ا معاملات الخاصة بأعمالها. فعلى الرغم من أننا نمتلك قاعدة بيانات قوية 
كأحد أدوات المساعدة: فإن عمليات إدارة ا محتوى المؤسسي کن اتناف کا في 
الإبقاء على نتائج هذه الأنشطة. 

ه أدوات الاستمرارية والاحتفاظ: يعد الإبقاء على الأعمال سارية ومستمرة أربعاً وعشرين 
ساعة في اليوم» وسبعة أيام في الأسبوع ۷/۲٤١‏ أحد مهام التخطيط للاستمرارية» ونظراً 
لأن الوثائق الإلكترونية هذه الأيام تعد بمثابة شريان الحياة بالنسبة لمعظم المؤسسات» 
فإن إدارة المحتوى المؤسسي لديها تلعب 1 35 في إدارة الاستمرارية. حيث تسمح 
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التقنيات الخاصة بإدارة المحتوى المؤسسي بإنشاء مستودعات مركزية يمكن أن تتواجد 
بها كل المعلومات الحيوية للشركة. وسوف تختلف طريقة التخزين اعتماداً على مدى 
أهمية المحتوى بالنسبة للشركةء وهي تتنوع من أشرطة النسخ الاحتياطي خارج الموقع 
إلى المواقع الإضافية والمواقع الانعكاسية (المرآوية) المفصولة جغرافياً والموجودة على 
شبكات طاقة مختلفة. كما يجب على المؤسسة أن تضع أوليات لعناصر المحتوى لديها 
لتحديد مدى السرعة اللازمة لاستعادة محتوى الوثيقة على شبكة الإنترنت حال حدوث 
كارثة. كما يلزم تحديد العمليات المحورية في أداء المهام والكيانات التي تعتمد عليهاء 
على أن يلي ذلك إجراء تقييم تأثير الأعمال لتحديد أثر حدوث عرقلة لتلك العمليات أو 
فقدها. لذا فوجود عمليات مناسبة وقوية لإدارة المحتوى المؤسسي يعد هنا من الأمور 

الضرورية. 

وسائل لإشراك عملاء نظام إدارة المحتوى المؤسسي: إن وجود الأدوات التي تسمح 

للمؤسسة وعملائها وغيرهم من أصحاب المصلحة باسترجاع جميع المستويات الخاصة 

بأنشطة التعاملات والوصول إليها بسهولة يجب أن يكون سمة رئيسية من سمات عمليات 
نظام إدارة المحتوى المؤسسي. هذا النوع من الأدوات يسمح لمركز خدمات العملاء بتوفير 

تواريخ عمليات الشراء بشكل سريع بدلاً من العودة إلى السجلات واسترجاعها. 

٠‏ إدارة الوثائق: تساعد عمليات إدارة المحتوى المؤسسي هنا المنظمات على تحقيق 
إدارة أفضل للقيام بإنشاء ومراجعة واعتماد واستخدام الوثائق الإلكترونية. توفر إدارة 
الوثائق الميزات الرئيسية كالخدمات المكتبية وتوصيف الوثائق والبحث وتسجيل الدخول 
والخروج والتحكم في الإصدار وتاريخ التنقيح وأمن الوثائق. 

٠‏ روابط التشغيل البيني للمؤسسة: تحتاج المؤسسة عادة في هذه الأيام إلى تبادل البيانات 
وال معلومات بين وحداتها التشغيلية المختلفة وأصحاب المصالح الخارجيين. وعلى الرغم 
من أن النظم والتصميمات المختلفة قد تتسبب في وجود صعوبات» فإنه ينبغي أن تكون 
عمليات إدارة المحتوى المؤسسي مفتوحة ومرنة ها يكفي لبناء روابط تشغيل بيني للنظم 
التي تغطي المؤسسة بكاملها ووحداتها التشغيلية. 
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٠‏ أدوات أمن إدارة المحتوى المؤسسي: يجب أن تقوم عمليات إدارة المحتوى المؤسسي 
بفرض قيود على عمليات الوصول إلى المحتوى أثناء إنشائها وكذلك إدارتها عند تسليمها. 
وينبغي أن تشتمل هذه العمليات الأمنية على ما يلي: 
< إدارة الحقوق الرقمية: يجبا أن تقوم عمليات إدارة ال محتوى امؤسبي هنع التوريع غير 

ا مشروع للمحتوى ا محمي بالحقوق عن طريق تقييد الوصول إلى المحتوى وصولاً (نزولاً) 
إلى مستوى الجملة وكذلك منح / تقييد الصلاحيات للتوجيه إلى المحتوى والوصول إليه. 
- التوقيعات الرقمية: يجب أن تتأكد العمليات من هوية مرسل الوثيقة وسلامة الرسائل. 


هناك عنصران آخران في إطار بنية نظام إدارة المحتوى المؤسسي الموضح في الشكل 
التوضيحي (1-18) لا يجب تجاهلهما. فالمربع أو الجزء العلوي من هذا المخطط عبارة عن 
مساحة يطلق عليها إدارة الامتثال. فالعنصر الأساسي في إستراتيجية الامتثال الناجح لنظام 
إدارة ا محتوى هو الحاجة إلى الدمج بين فكرة الامتثال لنظام إدارة المحتوى والأعمال وألا 
يُنظر للامتثال هنا كما لو كان مشروعاً يمكن أن يبدأ و" ينتهي"» وعلى الرغم من أن الامتثال 
للوائ ثح التنظيمية يعد أمراً شاق فإنه يجب أن يُنظر إليه على أنه فرصة لتحسين العمليات 
المشتركة للأعمال» وليس فقط مجرد تكلفة مستمرة على الأعمال. إن هذا المستوى من 
الامتشال يختلف قليلاً عن مكون الامتثال - الحوكمة وإدارة المخاطر والامتثال - 6۸٣‏ 
الخاص بحوكمة تقنية المعلومات. 

أ ى الان السليم للمبادرة الخاصة بالامتثال سيعود بالفائدة على العديد من مجالات 
الخبرة في ا خصوضاً المجالات القانونية وتقنية ال معلومات وإدارة السجلاتء والتي 
تهدف جميعها إلى دعم الأهداف العامة للأعمال المؤسسية. ويجب أن تسهم معرفة 
ومرئيات الأفراد العاملين في كل من هذه المجالات في تحقيق الفوائد ا مرجوة من البرنامج 
السليم للامتثال. وعلى الرغم من أن الامتثال لا يمثل دانما مشكلة تقنية» فإن تقنية 
المعلومات» والنمو الهائل للمحتوى غير المرکب» قد يسهمان في كشف محتوى الشركات. 
وقد يساعد الاستخدام السليم لأدوات إدارة المحتوى المؤسسي في الحد من التكلفة الإجمالية 
للامتثال بالنسبة للأعمال وفي تحسين حوكمة تقنية المعلومات بشكل عام» كما هو موضح 
في العنصر الموجود في أسفل الشكل التوضيحي .)١-١8(‏ 
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شكل توضيحي (۱-۱۸) 


معمارية إدارة محتوى المؤسسة 158011 


التعاون والحوسبة 
الإجتماعية 
إدارة الوثيقة 


3 
1 
39 
3 


أدوات الإستمرارية 
الإحتفاظ 





خلق بيئة فعالة لنظام إدارة المحتوى المؤسسي في المؤسسة: 
كما أشرنا في النقاشات التمهيدية لهذا الفصلء ليست إدارة المحتوى المؤسسي مجرد نظام 
واحد ولكنه أكثر من إستراتيجية للمؤسسة: فهو عبارة عن سلسلة من النظم والعمليات 
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لإدارة العديد من النماذج والصيغ التي تتعامل معها المؤسسة اليوم بشكل أفضلء بدءاً 
من الوثائق الورقية وصولاً إلى الملاحظات المنشورة على تويتر 1۷٤٤٠١‏ والرسوم الهندسية 
وما هو أكثر من ذلك بكثير. وقد قامت بعض إدارات تقنية المعلومات في المؤسسة بوضع 
إستراتيجية خاصة بإدارة ا محتوى المؤسسيء ورا تكون قد قامت بتطبيق ذلك النهج 
الخاص بتلك الإستراتيجية إلى حد كبير. ومن الممكن أن تكون بعض الإدارات الأخرى قد 
قامت بتطبيق بعض الأجزاء الفعالة في نظام إدارة المحتوى المؤسسي كنظام خدمة العملاء 
للتحقق من الطلبات» ولكن لا يزال لدى تلك الإدارات الوسائل التي تسلكها قبل إطلاق 
نظام لإدارة المحتوى المؤسسي بشكل كامل. ثم من الممكن أن يكون هناك بعض الشركات 
التي م تتناول المفهوم بالشكل الصحيح ومن ثم استمرت في استخدام أساليبها التقليدية 
القائمة على التعامل مع الوثائق واحدة تلو الأخرى. 

يمكن أن تكون العمليات الفعالة لإدارة المحتوى ا مؤسسي وسيلة جيدة جداً لتحسين حوكمة 
تقنية ا معلومات في المؤسسة. الشكل التوضيحي (18-؟) يوضح بعض الشروط التي يجب على 
الإدارة مراعاتها عند اعتماد إستراتيجية خاصة بإدارة المحتوى المؤسسي. فإذا قامت المؤسسة 
بتحقيق واحد أو أكثر من تلك المتطلبات» ولاسيما إذا قامت بتلبية العديد منها بشكل مناسب» 
فمن الممكن أن تستفيد من عملية تحولها لاستخدام نظام إدارة المحتوى ال مؤسي. 

يتطلب التحول إلى استخدام نظام إدارة المحتوى المؤسسي شكلاً من أشكال الإستراتيجية 
في خطوة أولى. حيث تتضمن بعض الخيارات الخاصة بوضع إستراتيجية للتحول إلى 
استخدام نظام إدارة المحتوى المؤسسي على مستوى المؤسسة ما يلي: 

٠‏ القيام بداية ببناء منصة جديدة لإدارة المحتوى المؤسسي في أماكن العمل وذلك باستخدام 
إحدى العروض المقدمة من مقدمي خدمات المنصات الفردية لإدارة المحتوى المؤسسي. 
« تهجير واستبدال جميع نظم إدارة المحتوى الموجود إلى منتج واحد جديد خاص بإدارة 
المحتوى والذي حصلنا عليه من قبل أحد الموردين الذي يعمل على مستوى المؤسسة. 

٠‏ نقل أو تحويل كل نظم إدارة المحتوى الموجودة إلى المنتج الفردي الموجود الذي تم 

اختياره لإدارة المحتوى على مستوى المؤسسة والمقدم من قبل البائع. 
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شكل توضيحي (۲-۱۸) 
متطلبات المؤسسة التي تبرر الانتقال إلى نظام إدارة المحتوى المؤسبي 
٠‏ الاحتفاظ الطويل الأجل بالسجلات أو المتطلبات. 
٠‏ الاحتياجات اللوجستية لإدارة السجلات المادية واسترجاعها. 
٠‏ الاحتياجات الخاصة بامتلاك المعلومات أو السجلات كبيرة الحجم. 
٠‏ احتياجات التوافق مع معايير إدارة السجلات (على سبيل المثالء الحكومة الاتحادية أو الأيزو). 
٠‏ البيئة اللازمة لمشروع إدارة ومعالجة القضايا والحالات. 
٠‏ عمليات السجل أو المستند المهمة المدعومة بالتوقيع. 
٠‏ إدارة الأصول الرقمية (الوسائط الغنية). 
٠‏ إدارة التصميمات التقنية أو الضخمة الصياغة. 
٠‏ متطلبات إدارة الأصول والمرافق. 
٠‏ بوابات شبكة الإنترنت الخارجية / التي يتعامل معها العملاء. 
٠‏ الحاجة للتعامل مع شريك خارجي لتقديم حماية الجدران النارية. 
٠‏ تطبيقات لإدارة عمليات المهام الصعبة. 
٠‏ المتطلبات أو الاحتياجات اللازمة لإدارة الطباعة / الإخراج / الإحالات. 
٠‏ التكامل الوثيق مع نظم .ERP / CRM / LOB‏ 
٠‏ اتصالات النظم الواردة ذات القنوات المتعددة. 
« متطلبات إدارة الحقوق الرقمية/ للأصول ذات القيمة العالية. 
٠‏ متطلبات تشفير البيانات التي على درجة عالية من الأمن. 





٠‏ التعديل أو الاستبدال أو التحويل الانتقائي للعديد من النظم الإدارية/ المحلية المعمول 
بها خاليا حسب الحاجة: 

٠‏ تركيب نظم إدارية جديدة متخصصة حسب الحاجة لتحقيق الأهداف المحلية. 

٠‏ الانتقال إلى منصة نظام إدارة المحتوى المؤسسي القائمة على البيئة السحابية والمقدمة من 
قبل طرف ثالث. 
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ليس الهدف من هذا الفصل تقديم التفاصيل اللازمة لتطبيق إستراتيجية إدارة المحتوى 
على مستوى المؤسسة بواسطة استخدام العناصر التي تم وضعهاء أو عن طريق التعامل مع 
أحد الباعة الرئيسيين مثل آي بي إم (1811) أو إي إم سي (8310) والذين بإمكانهم تقديم 
الإرشادات والأدوات اللازمة. تقدم الأجزاء التالية من هذا الفصل وا للعناصر الأساسية 
لكامل نظام إدارة المحتوى المؤسسي أو لسلسلة من العمليات. كما يجب أن تشتمل الإدارة 
الفعالة للمحتوى على معظم هذه العناصر. 


سمات نظام إدارة المحتوى المؤسسي: الأرشفة وستحتطءسق: 

تضطر الأعمال هذه الأيام إلى التعاطي مع مجموعة كبيرة من مصادر البيانات المختلفة 
للشركات والإدارات. والتي تتضمن قواعد البيانات العلاقية. ومستودعات الوثائق» ومخازن 
البريد الإلكترونيء وخوادم الملفات. والأمر الذي يزيد من حجم التحدي الناجم عن إدارة 
هذه البيئة المعقدة لمصادر البيانات المختلفة هو المتطلبات المتعلقة مقتنيات وممتلكات 
الشركات والتشريعات التنظيمية وحوكمة المعلومات والتفويضات للحد من التكلفة 
التشغيلية من خلال البائع وتعزيز البنية التحتية. وتحتاج المؤسسة إلى مستودعات خاصة 
بأرشفة وثائق نظام إدارة المحتوى المؤسسيء وذلك لتخزين تلك الوثائق التي تكون غالباً 
ملايين من البيانات والوثائق والصورء وغيرها من الوثائق التي تخص العملاء. ويجب أن 
يشتمل هذا الأرشيف على جميع الوثائق الفردية الخاصة بالاستكشاف والتحقق من سلامة 
وصحة ال محتوى وتنظيم العمليات التخزينية والاسترجاع والتوزيع والتوصيل. 

ترتبط الفهارس الخاصة عادة بأرشفة وثائق نظام إدارة المحتوى المؤسسي بمحتوى 
المستند عند إنشاء ذلك المحتوى وذلك من خلال استخدام محركات التركيب» أو أثناء 
تحميلها في الأرشيف. تصميم الفهرس هنا مهم» فبمجرد وضع الوثائق في الأرشيف سيكون 
من الصعب جداً نمو أو زيادة تلك الفهارس لكي تلبي الاحتياجات المتغيرة للأعمال أو 
الاحتياجات الخاصة بالعملاء طبقاً لوجهات النظر المختلفة لهم. 

وعلى الرغم من أن مشروع الأرشفة الخاصة بإدارة ا محتوى المؤسسي قد يكون "مشروعاً 
مرعباً", فإنه يوفر فرصة لتوضيح مسائل مثل رقم الحساب ومعايير التسمية التي قد تكون 
فريدة داخل مؤسسة واحدة ولكن تتكرر عبر السجلات المحفوظة لدى الشركة. فبالإضافة 
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إلى إطلاق مجموعة من العمليات الخاصة بإدارة المحتوى المؤسسيء يمكن للأرشفة أن تعود 

على المؤسسة بفوائد فورية ‏ وطويلة الأجل. 

سمات نظام إدارة المحتوى المؤسسي: عمليات التصنيف وعووعء220 1152ه11ز01255: 

تعمل عمليات التصنيف الخاصة بوثائق نظام إدارة المحتوى المؤسسي على أتمته تنظيم 

المحتودات غير ا مركبةء وذلك من خلال تحليل النص الكامل لوثائق ورسائل البريد الإلكتروني. 

ومن خلال تصنيف المحتوىء بإمكان تقنية المعلومات أن تقوم بتسريع عمليات الوصول 

إلى المحتوى أو تقليل الوقت اللازم للوصول إليه» وذلك للحصول على القيمة المرجوة من 
الاستثمارات المتعلقة بنظام إدارة المحتوى المؤسسي كأرشفة المحتوى أو إدارة السجلات 

الإلكترونية. ويجب أن تسمح عمليات التصنيف بالتالي: 

٠‏ تقديم أعلى عوائد الاستثمار من العملية عن طريق تحرير المستخدمين النهائيين من عبء 
ا مهام اليدوية دون المخاطرة بتعارض المشاركة -في حين أنه يتم تصنيف كميات كبيرة من 
المحتوى بدقة. 

٠‏ تصفية أرشيف الوثائق من رسائل البريد الإلكتروني والوثائق ذات القيمة المحدودة 
بالنسبة للأعمال. 

٠‏ تنظيم محتوى الوثائق بمنطق ثابت وموثوق به وقابل للتدقيق. 

٠‏ أكثر استعداداً للتكيف مع التغييرات في السياسات والفئات من خلال دمج التغذية 
الراجعة للمستخدم في الوقت الحقيقي. 

٠‏ إنشاء تصنيفات عالية الدقة للوثائق من خلال الجمع بين أساليب متعددة للتصنيف مثل: 
ه٠‏ قواعد الكلمات المفتاحية والتطابق التقريبي. 

٠‏ استخراج النمط. 


٠‏ الأساليب القائمة على السياق الدقيق للغاية الخاصة ب"التعلم من خلال قدوة". 
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إن عملية تحليلات المحتوى هي العنصر الرئيسي في عمليات تصنيف وثائق نظام إدارة 
ا محتوى المؤسسيء وهي عملية متقدمة للبحث والتحليلات تكن من اتخاذ قرارات أفضل 
فوا عن مستوى وة قش ار معن فير ذلك لجح أو اه كان 
الحلول الخاصة بعملية تحليلات المحتوى فهم معنى وسياق لغة الإنسان وتقوم بسرعة 
بمعالجة المعلومات لتحسين البحث الذي تحركه المعرفة وإظهار رؤى جديدة من محتوى 
اة الخاد يك 

وما هو أكثر تطوراً من ذلك استخدام تقنيات أحدث لمعالجة اللغات الطبيعية مثل 
تقنية (102660504 118501 181341): وذلك عند إجراء عمليات تحليل ال محتوى. وهذه 
التقنية عبارة عن آلة متطورة تعمل بنظام الرد على الأسئلة. إن كمية كبيرة من المعلومات 
التي تم إنشاؤها واستخدامها من قبل المؤسسة عبارة محتوى غير مركب» والذي ينمو عادةً 
معدل صحف معدل انات اة "إن مكو و اغد هده ادمات غير اللركنة 
وشبه المركبة قد يساعد المنظمة للعمل بطريقة أذى ويخدم العملاء بشكل أفضل ويتحكم 
في التكاليف ويخطط للمستقبل. 


سمات نظام إدارة المحتوى المؤسسي: التخلص من الوثائق وإدارة الحوكمة: 

يجب أن تكون عملية التخلص من الوثائق وإدارة الحوكمة جزاً لا يتجزأ من عمليات 
إدارة المحتوى المؤسسي في المؤسسة. إذ تساعد هذه العملية المؤسسة على الوفاء بالتزاماتها 
للحصول على المعلومات وإدارتها على أساس القيمة والتخلص من المعلومات العدهة 
القيمة أو الالتزامات في أقرب فرصة ممكنة. فقد تساعد العملية الْحكمة على التخلص من 
البيانات التي مم تعد مستخدمة في الحد بشكل كبير من حجم المعلومات ومن التكاليف 
الناجمة عن استخدام تقنية المعلومات. فمن خلال الحلول المناسبة للتخلص من البيانات 
وإدارة الحوكمة ممكن لتقنية المعلومات أن تقوم بإذازة اللعلومات :وفقا لقيمة أغمالها أ 
التزاماتها القانونية وتقوم بالتخلص من المعلومات الأخرى. 

إن العنصر الأساسي في عمليات التخلص من الوثائق هو أنه يجب على إدارة ا مؤسسة 
وإدارة تقنية المعلومات الحصول على رؤية واضحة للوثيقة فيما يخص أنه يجب على إدارة 
المؤسسة وإدارة تقنية المعلومات الوصول إلى رؤية لكل من وثائق الالتزامات القانونية - 
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كالجداول القانونية لإدراج الوثائق والاحتفاظ بها - والقيمة التجارية ممعلومات محددة 
مرتبطة بأحد الأصول أو بهوية أحد الموظفين. كما يجب أن يكون لدى عمليات إدارة 
المحتوى المؤسسي أهداف للقيام بالنقل الفوري للمتطلبات والحقائق بين كل من قسم 
تقنية المعلومات والسجلات والكادر القانوني للمؤسسة» وذلك من خلال التبليغ التلقائي 
مهام البنود والإشعارات والتنبيهات وعمليات البحث المبسطة في الالتزامات القانونية. 


يجب على المنشأة أن تقوم بالتخلص المبرر من الوثائقء وذلك من خلال إجراء عمليات 
دقيقة لجرد البيانات بهدف التخلص من ال معلومات المخزنة الزائدة عن الحاجة. فمن خلال 
تمكين تقنية المعلومات لإجراء عمليات تحديد الخ المكررة البيانات نفسها والبيانات 
القديمة التي لم يعد لها أي قيمة تجارية أو عليها التزامات قانونية وكذلك النظم المكررة, 
فإنه يمكن لعمليات إدارة المحتوى أن تُمَكن الشركة من الاحتفاظ فقط بالبيانات التي لها 

وتستطيع العمليات المناسبة لإدارة المحتوى المؤسسي أن تمنع تراكم البيانات غير 
الضرورية في المستقبل. فعندما تقوم المؤسسة بالتخلص المبرر من المعلومات التي يمكن 
الاستغناء عنها فإن ذلك يمكنه أن يقضي على مخاطرة ترتبط بتقنية المعلومات تعرف 
ب"ادخار كل شيء"» ومن ثم زيادة الكتلة القابلة للاستكشاف. كما أنه يحمي المؤسسة 
من الانشغال بممارسات تخلص مفرطة وغير مناسبة بسبب إجرائها عمليات غير مناسبة 
وإهدارها لفترات حفظ م تكون مطلوبة. 

هناك مئات الحلول الأخرى لممارسة إدارة الوثائق المكتبية مثل التصوير والتطبيقات 
الهندسية وإدارة محتوى الويب والمحتوى القائم على ۷1× وتطبيقات نشر الوثائق. 
فإدارة الوثائق تتيح آليات البحث والوصول إلى الوثائق الموجودة في تلك النظم في جميع 
أنحاء المنظمة في الوقت الذي تتبني فيه المعايير الصناعية التي تساعدها على التكامل مع 
عمليات الأعمال الأخرى. وتقوم إدارة الوثائق بزيادة حجم البنية التحتية الخاصة بنظام 
إدارة المحتوى المؤسسي لتشمل وثائق العمل التي تم إنشاؤها بشكل فردي أو عن طريق 
العمليات التعاونية. 
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هناك العديد من التقنيات والحلول المتاحة التي يقوم المورد بتوفيرها هذه الأيام في 
إدارة المحتوى المؤسسي. إلا أن نظام إدارة المحتوى الأكثر أهمية هو الذي يمتلك خطة 
إستراتيجية مستمرة ومتطورة لزيادة الكيفية التي يمكن من خلالها استخدام المحتوى. 
قد تكون العمليات المتعلقة بمعلومات نظام إدارة المحتوى المؤسسي مثابة نقطة انطلاق 
للمؤسسة للقيام بمراجعة وإنشاء دورة حياة مشتركة لمحتوى المعلومات. وكنقطة بداية 
لحوكمة تقنية المعلومات» يجب على ا لمؤسسة رسم خريطة لنظمها وعملياتها الحالية 
لتحديد أوجه التداخل ومجالات التحسين للتطبيقات والإستراتيجيات التي تقوم بتطويرها. 
وقد تكون المعلومات المُجمّعَة بمثابة مؤشر فقط على درجة التعقيد المتأصلة في أي عملية 
تدير محتوى منظمة ما. وينبغي أن تتمثل الخطوة التالية في مناسبة الأدوات التقنية لتلبية 
احتياجات الأعمال. ويمكن للتقنية أن تضمن انسيابية إدارة المحتوىء لكن الإستراتيجية 
الأساسية يجب أن تأتي أولاً. 
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دور التدقيق الداخلي في الحوكمة 


من المعلوم أن مهنة التدقيق الداخلي ليست جديدة وإنما هي موجودة منذ القدم. فقد 
اكتشف علماء الآثار أن الكتبة في بلاد ما بين النهرين”؟ قد استخدموا سجلات محاسبية 
دقيقة من ألواح الطين منذ ما يقرب من ٠٠٠١‏ سنة قبل الميلاد حيث كانت تحتوي تلك 
السجلات على مؤشرات ونقاط وعلامات تحديد. وهو الأمر الذي يدل على وجود وظيفة 
التدقيق في ذلك الوقت. ودون شك فقد تطورت مهنة التدقيق على مدى آلاف السنين» 
ونقوم اليوم عادة بتصنيف معظم مدققي الأعمال إما إلى مدققين خارجيين أو مدققين 
داخليين. حيث يتم اعتماد المدقق الخارجي من قبل هيئة تنظيمية ليقوم بزيارة المؤسسة 
أو المنشأة لمراجعة أعمالها والقيام بإعداد تقرير مستقل بنتائج هذه المراجعة. ففي الولايات 
المتحدة يكون المدققون الخارجيون عادة هم المحاسبين القانونيين» الذين يحملون تراخيص 
من الولاية ويتبعون المعايير الخاصة بالمعهد الأمريكي للمحاسبين القانونيين W.41°4.(‏ ۷۷ 
8). كما يوجد هناك أيضاً أنواع أخرى من المدققين الخارجيين الذين يعملون في مجالات 
مثل من يقومون مراجعة مدى مطابقة الأجهزة الخاصة با معدات الطبية للمعايير أو مراجعة 
معدلات مشاهدي التلفاز أو غيرها من التقييمات في مجالات حكومية متعددة. 

يكون مجال التدقيق الداخلي غالباً أكثر اتساعاً وأهمية من مجال التدقيق الخارجي. 
وكون المدقق الداخلي من موظفي أو أعضاء المؤسسة: فإنه يقوم وبشكل مستقل بمراجعة 
وتقييم العمليات التشغيلية في العديد من المجالات المختلفةء مثل إجراءات الرقابة الداخلية 
للمكاتب المحاسبية أو العمليات الخاصة بالجودة الصناعية. ويقوم معظم المدققين 
الداخليين باتباع معايير رفيعة المستوى تم وضعها من قبل المنظمة المهنية التي يتبعونهاء 
وهي معهد المدققين الداخليين (6113.018 191:0 »114)» غير أنه يوجد اليوم كثير من 
ا مماررسات والأساليب المختلفة الأخرى في التدقيق الداخلي نتيجة لطبيعته العالمية وكثرة 
أنواع أنشطة التدقيق. 


(*) بلاد العراق قدياً (المترجم). 
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يتخصص بعض المدققين الداخليين في مراجعة الضوابط المالية الداخلية للمؤسسات» 
في حين يركز البعض الآخر على عمليات الأعمال أو المسائل التشغيلية. وعلى الرغم من 
أن جميع المدققين الداخليين اليوم يجب أن يكون لديهم بعض المعرفة عن الضوابط 
الداخلية المتحلقة بتقنية المعلومات: فإن هناك أيضا تخصصا مهنياً قوياً يعرف باسم مدقق 
تقنية المعلومات. وقد تم الحديث عن هؤلاء المهنيين في الفصل الخامس من هذا الكتاب 
باعتبارهم الموارد الرئيسية لتطوير وتنفيذ عمليات قوية وفعالة لحوكمة تقنية المعلومات. 

يستعرض هذا الفصل أهمية التدقيق الداخلي وتدقيق تقنية المعلومات في وضع 
عمليات فعالة لحوكمة تقنية المعلومات. وسوف نستعرض بإيجاز المعايير والأنشطة المهنية 
الخاصة بالتدقيق الداخلي والضرورية لإيجاد ممارسات جيدة لحوكمة تقنية المعلومات. 
وعلى الرغم من أن إدارة التدقيق الداخلي تعد إدارة منفصلة ومستقلة داخل المؤسسة: فإن 
التقاريرالصادرة عنها تُقدَّم فقط للجنة التدقيق التابعة لمجلس إدارة المؤسسة: لذا يجب 
على المديرين التنفيذيين فهم الأدوار المنوطة بهم والعمل معهم بهدف تحسين العمليات 
الخاصة بحوكمة تقنية المعلومات. 


تاريخ التدقيق الداخلي ومعلومات أساسية عنه: 

يمكن لكبار المديرين التنفيذيين فهم التدقيق الداخلي ومجالاته المعرفية الأساسية على 
نحو أفضل من خلال معرفتهم لبعض المعلومات عن المنظمة المهنية للمدققين الداخليين» 
14 ومعاييرها ا مهنية المنشورة. وقد قامت تلك المنظمة المهنية بتعريف التدقيق الداخلي 
على النحو التالي: 

"التدقيق الداخلي هو وظيفة تقييم مستقلة مصممة داخل المنظمة لفحص وتقييم أنشطتها 
باعتبارها خدمة للمنظمة." 

کی هذا ارف اک وقوها عدم تركتغان کاک نه کیام حي د 
التدقيق إلى مجموعة متنوعة من الأفكار التي يمكن أن يُنظر إليها من زاوية ضيقة للغاية, 
مثل التحقق من الدقة الحسابية أو الوجود الفعلي للسجلات المحاسبية: أو على نطاق أوسع 
كالمراجعات والتقييمات التي تتم على العديد من المستويات التنظيمية. سيتم استخدام 
مصطلح التدقيق طيلة هذا الفصل ليشمل هذه المجموعة المتنوعة من مستويات الخدمة 
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التي تمتد من الفحص التفصيلي وحتى الوصول إلى التقييمات العالية المستوى. أما مصطلح 
الداخلي فيقصد به أن العمل يتم داخل المؤسسة: بواسطة الموظفين العاملين فيهاء بعكس 
المدققين الخارجيين الذين يتم تنفيذ أعمالهم بواسطة محاسبين قانونيين أو أطراف أخرى 
من خارج المؤسسة: كا منظمات أو الجهات الرقابية الحكومية» التي لا تعتبر خا 3 


املؤسسة. 
يشتمل الجزء المتبقي من هذا التعريف الخاص بل منظمة المهنية للمدققين الداخليين 

114 والخاص بالتدقيق الداخلي على مصطلحات أخرى هامة تنطبق على هذه المهنة وهي: 
٠‏ مستقلة: هو المصطلح الذي يشير إلى أن التدقيق الداخلي خال من أية قيود هكن أن 
تحد بشكل كبير من نطاق وفاعلية أي عملية مراجعة يقوم بها المدقق الداخلي أو 
تؤثر في التقارير التي يتم إعدادها بعد ذلك بشأن المحصلة النهائية الخاصة بالنتائج 
والاستنتاجات. 

٠‏ التقييم: هو مصطلح يؤكد ضرورة إجراء التقييم الذي يعد بمثابة قوة الدفع للمدققين 
الداخليين عند قيامهم بوضع استنتاجاتهم. 

٠‏ مصممة: هو مصطلح يؤكد أن التدقيق الداخلي عبارة عن وظيفة رسمية محددة داخل 
المؤسسة الحديثة. 

٠‏ فحص وتقييم: مصطلحان يصفان الأدوار النشطة التي يقوم بها المدققون الداخليونء 
بداية بالاستفسارات الخاصة بتقصي الحقائق ثم بالتقييمات التحكيمية النزيهة. 

٠‏ أنشطتها: هو مصطلح يؤكد النطاق الواسع لولاية أو سلطة الأعمال الخاصة بالتدقيق 
الداخلي والذي يسري على جميع أنشطة المؤسسة الحديثة. 

٠‏ الخدمة: مصطلح يشير إلى أن المساعدة ومد يد العون إلى لجنة التدقيق والإدارة وغيرهم 
من أعضاء المؤسسة هي الغاية الحقيقية النهائية من جميع أعمال التدقيق الداخلي. 

٠‏ المنظمة: يضطلخ يؤكد أن النطاق الإجمالي لخدمة التدقيق الداخلي يشمل المؤسسة 
بأكملهاء ا ذلك جمیع الموظفين ومجلس الإدارة ولجنة التدقيق والمساهمين 
وغيرهم من أصحاب المصالح. 
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كما يجب الاعتراف أيضاً بأن إدارة التدقيق الداخاي تعد مثابة هيئة رقابية تنظيمية 
داخل المؤسسة تعمل من خلال قياس وتقييم فاعلية الضوابط الأخرى. فالمدققون 
الداخليون الذين يقومون بأداء أعمالهم بفاعلية وكفاءة يُصبحون خبراء في عمل أفضل 
التصاميم والتطبيقات الممكنة لجميع أنواع الضوابط والممارسات المفضلة. وتتضمن هذه 
الخبرة فهم أوجه الترابط بين الضوابط المختلفة وأفضل تكامل ممكن فيما بينها داخل 
النظام الكاي للرقابة الداخلية. وبذلك تعد الرقابة الداخلية بمثابة الباب الذي من خلاله 
يأتي المدققون الداخليون لدراسة وتقييم جميع أنشطة المنظمة وتوفير أقصى قدر ممكن 
من الخدمات للمؤسسة. لا يمكن التوقع بأن يكون المدققون الداخليون متساوين - بغض 
النظر عن كثرتهم - في الخبرات الفنية والتشغيلية الخاصة بالعديد من الأنشطة المختلفة 
للمؤسسة. لكن ومع ذلكء يمكن للمدققين الداخليين مساعدة هؤلاء الأفراد المسؤولين في 
تحقيق نتائج أكثر فاعلية من خلال تقييم الضوابط القائمة وتوفير أساس للمساعدة على 
تحسين تلك الضوابط وكذلك الممارسات الخاصة بحوكمة تقنية المعلومات ذات الصلة. 

بعض المعلومات الأساسية عن دور التدقيق الداخلي قد تكون ذات فائدة. فعلى الرغم 
من الأصول التاريخية القدهة للتدقيق الداخليء فإنه لم يتم إدراك أو الاعتراف بمدى أهميته 
من قبل العديد من المؤسسات ومدققيها الخارجيين حتى ثلاثينيات القرن الماضي. فقد 
كان السبب الرئيسي للاهتمام بمهنة التدقيق الداخلي والاعتراف به يعود في المقام الأول إلى 
إنشاء هيثة الأوراق اممالية والبورصة الأمريكية (58©0) في عام 1916 وتغير أهداف وتقنيات 
التدقيق الخارجي في ذلك الوقت. وفي هذا الوقت تماما تعرضت الولايات المتحدة وبقية 
دول العام لكساد 060655108 اقتصادي كبير بكل المقاييس» والذي كان أكثر شدة من 
الركود 606551503 العالمي الكبير الذي بدأ في عام .7٠١08‏ وفي إجراء تشريعي تصحيحي» 
طالبت هيئة الأوراق المالية والبورصة الأمريكية (558:0) المؤسسات المسجلة بضرورة تقديم 
بيانات مالية معتمدة من مدققي حسابات مستقلين. كما دفع هذا المطلب أيضاً الشركات 
إلى القيام بإنشاء إدارات التدقيق الداخليء ولكن مع الحفاظ على الهدف الرئيسي في 
مساعدة مدققيها المستقلين. حيث قام المدققون اماليّون الخارجيون وقتها بالتركيز على 
إبداء آرائهم حول نزاهة القوائم المالية للمؤسسة بدلاً من التركيز على كشف نقاط الضعف 
الموجودة في الرقابة الداخلية. وقد حثت قواعد هيئة الأوراق المالية والبورصة الأمريكية 
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(©58) على التدقيق القائم على عينة محدودة من ال معاملات» إلى جانب المزيد من الاعتماد 
على إجراءات الرقابة الداخلية. 

وقد كان المدققون الداخليون في ذلك الوقت معنيين في المقام الأول بفحص السجلات 
المحاسبية والكشف عن الأخطاء والمخالفات المالية. وكانوا في كثير من الأحيان أكثر قليلاً من 
مساعدين لمدققي الحسابات الخارجيين المستقلينء والمكلفين بتنفيذ التسويات المحاسبية 
الروتينية أو بمثابة أفراد للدعم المكتبي. وقد استمرت آثار هذا التعريف القديم للتدقيق 
الداخلي في بعض الأماكن حتى أوائل السبعينيات من القرن الماضي. على سبيل المثال» حتى 
سبعينيات القرن الماضي كان "المدققون" العاملون في العديد من المنظمات التي تمارس 
عمليات البيع بالتجزئة هم الأشخاص الذين يقومون بعد النقدية وترصيد آلات تسجيل 
النقدية (تذكر تلك؟) في نهاية كل يوم عمل. 

وعلى الرغم من أنه هناك أصواتاً أخرى تطالب بضرورة عمل شيء لتحسين إمكانيات 
المدققين الخارجيين والاستفادة منها بشكل أفضلء فإن هناك أموراً قد بدأت بالفعل بعد 
أن أتم فيكتور ز. برينك 811 .7 1716102 أطروحته الجامعية عن التدقيق الداخلي قبل 
الخروج للخدمة في الحرب العايلية الثانية. وبعد انتهاء الحرب» عاد برينك لتنظيم ورئاسة 
التدقيق الداخلي لشركة فورد موتور (210101 8014). وقد شرت أطروحته الجامعية في 
الطبعة الأولى من الكتاب المرجعي القياسي المتاح الآن عن هذا الموضوع؛ التدقيق الداخلي 
الحديث'' „(Modern Internal Auditing)‏ 

وقد انطلق معهد المدققين الداخليين (114) في الوقت نفسه تقريباًء في عام ١٤۱۹ء‏ من 
خلال تأسيس الفرع الأول له في نيويورك» وسرعان ما تبعه إنشاء فرع آخر في شيكاغو. وقد تم 
تشكيل المنظمة من قبل الأشخاص الذين تم منحهم لقب "مدقق داخلي" من قبل مؤسساتهم» 
والذين يريدون تبادل الخبرات والمعارف المكتسبة مع الآخرين في هذا ا مجال المهني الجديد. 
وبذلك تمت عملية ولادة هذه المهنة وارتفاع مكانتها وأهميتها منذ ذلك الحين. 

كانت مهنة التدقيق الداخلي الحديث في أربعينيات القرن الماضي تتطلب مجموعة 
من المهارات المهنية المختلفة تماماً عما هي عليه اليوم. على سبيل المثال لم تكن بعض 
الأجهزة الإلكتروميكانيكية وأنشطة مختبرات الأبحاث ونظم الحاسب الرقمية موجودة في 
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ذلك الوقت. هذا بالإضافة إلى عدم حاجة المؤسسات في ذلك الوقت إلى مبرمجي الحاسب 
الآلي حتى بدأت تصبح بعض آلات الجدولة البدائية مفيدة في حفظ السجلات وغيرها من 
المهام الحسابية وا محاسبية. وبالمثلء كانت مؤسسات الاتصالات الهاتفية بدائية جد فقد 
كان يقوم مشغلو لوحة التوزيع (المقسم) بتحويل جميع المكالمات الواردة إلى عدد محدود 
من الهواتف المكتبية. أما اليوم» فلدينا بالطبع موارد لتقنية ا معلومات ترتبط جميعها من 
خلال الشبكة الإلكترونية الضخمة للإنترنت المكونة من الاتصالات السلكية واللاسلكية في 
كل أنحاء العام. وقد أدى التعقيد المتزايد للأعمال وغيرها في المؤسسات الحديثة إلى الحاجة 
إلى مدققين داخليين ليصبحوا متخصصين أكثر من أي وقت مضى في مختلف ضوابط الأعمال. 

لقد لعب هؤلاء المدققون الداخليون الأوائل في كثير من الأحيان دوراً محدوداً جداً في 
المؤسسات التابعين لهاء في ظل مسؤولياتهم المحدودة نسبياً من مجموع الطيف الإداري. 
فالمدقق الداخاي الأول كان يُنظر إليه غالباً على أنه مراجع للسجلات المالية وأنه ضابط 
شرطنة أكثز:من كونة.زميلاً في العمل: في بعض المؤسسآتء كان قد الحدققين الذاغليين 
مسؤوليات كبيرة في تسوية الشيكات الملغاة للمرتبات مع البيانات المصرفية أو مراجعة 
الحسابات الموجودة في المستندات النظامية للأعمال. 

ومع مرور الوقت» ازداد حجم وشدة تعقيد العمليات التشغيلية في العديد من مؤسسات 
الأعمال» الأمر الذي استحدث مشاكل إدارية وضغوطاً جديدة على الإدارة العليا. وقد كانت 
ردة الفعل الطبيغية لذلفة هو إذراك العديد من كار الكديرين أن هناك احتمالاك لتحسين 
الاستفادة من المدققين الداخليين. كان هناك بالفعل أفراد تم تعيينهم في وظيفة التدقيق 
الداخلي للمؤسسة. ويبدو أنه كان هناك سبب وجيه للحصول على قيمة أكبر من هؤلاء 
الأفراد مع زيادة طفيفة نسبياً في التكلفة. 

وفي الوقت نفسه» أدرك المدققون الداخليون هذه الفرص» وقاموا باستحداث العديد من 
أنواع الخدمات الجديدة. وبذلك أخذ المدققون الداخليون على عاتقهم ا مسؤوليات 
أكبر وأكثر تركيزاً على الإدارة في أعمالهم. ولأن التدقيق الداخلي كان في البداية موجهاً نحو 
المحاسبة إلى حد كبيرء فقد كان الشعور بهذا الاتجاه التصاعدي بداية في مجالات المحاسبة 
والرقابة المالية. فبدلاً من مجرد التبليغ عن المخالفات المحاسبية ذات الصلة - مثل بعض 
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الوثائق التي تخلو من توقيع المشرف - بدأ المدققون الداخليون بالاستفسار عن عمليات 
الرقابة الشاملة التي هم بصدد مراجعتها. ومن ثم» بدأ عمل تقييم التدقيق الداخلي تد 
ليشمل العديد من المجالات غير المالية في المؤسسة. 

وقد تسببت قواعد ومبادرات الأعمال الجديدة في الولايات المتحدة: مثل إطار الرقابة 
الداخلية (0050).: الذي تم الحديث عنه في الفصل الرابع من هذا الكتاب» أو متطلبات 
قانون ساربينز أوكسلي (×580)» الموضحة في الفصل الثاني من هذا الكتاب. في الزيادة 
المستمرة للحاجة إلى خدمات المدققين الداخليين. وبالإضافة إلى ذلك» فإن بعض المؤثرات 
البيئية الحديثة قد أوجدت احتياجات جديدة في مجالات مثل الحماية من المخاطر الصناعية 
وتقديم الدعم لبرامج مراقيةالجوذة ومسكتويات مجتلفة لسؤوليات العمل ضعا ذلك 
المعايير الأخلاقية. هذه الحاجة إلى المعايير الأخلاقية تشمل معايير أعلى لحوكمة الشركات» 
وزيادة مشاركة مجالس الإدارة. ولجان التدقيق التابعة لهاء ودوراً أكثر نشاطاً لأصحاب 
امصالح» وقدراً أكبر من الاستقلالية للمحاسب القانوني الخارجي. 

أما اليوم» فقد توسعت أنشطة التدقيق الداخلي لتصل إلى جميع المجالات التشغيلية 
للمؤسسة وقد حجزت لها مكاناً يحظى بالتقدير والاحترام عل أنه جزء من أعمال 
ومجهودات الإدارة العليا. إن المدقق الداخلي اليوم يخدم وبشكل رسمي وفعال لجنة 
التدقيق التابعة لمجلس الإدارةء وإن مدير التدقيق الداخلي (0417) اليوم لديه مستوى 
مباشر وفعال للتواصل مع تلك اللجنة نفسها الخاصة بالتدقيقء وإن هذا الوضع العام 
يعكس تقد تقدماً كبيراً في نطاق تغطية التدقيق الداخلي ومستوى الخدمة لجميع مجالات 
المؤسسة. إن مهنة التدقيق الداخلي نفسهاء من خلال تنميتها الذاتية وتطبيقها كما ينبغي» 
اموت في تحقيق هذا التقدم» وتمهيد الطريق لاستمرار الاتجاه التصاعدي لها. فهي الآن 
تعن مكونا هاما من مكونات العمليات القعالة 'لحوكمة فة المعلوماف 


التدقيق الداخلي ومدقق تقنية المعلومات: 

لقد تحدثنا عن تطور كل من مهنة التدقيق الداخلي ومعهد المدققين الداخليين 114 
كذلكء وهو المنظمة المهنية العالمية للتدقيق الداخلي. وعلى الرغم من أنه يجب على أي 
منظمة مهنية أن تقوم بتقييم أو تقدير احتياجات أعضائها في ضوء الظروف المتغيرة فإن 
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من الممكن أن تكون هذه التغيرات في بعض الأحيان بطيئة بعض الشيء. أصابت تلك 
التغيرات معهد المدققين الداخليين (114) في غضون فترة النمو الهائل في نظم وعمليات تقنية 
المعلومات: والذي رها يكون قد بدأ في أوائل السبعينيات من القرن الماضي. قد أدرك في ذلك 
الوقت عدد كبير ومتزايد من المدققين الداخليين أن تلك النظم والعمليات الجديدة الخاصة 
بتقنية المعلومات قد قدمت مجموعة واسعة من القضايا الجديدة للرقابة الداخليةء إلا أن 
المنظمة المهنية للتدقيق الداخلي التابعين لها لم تقدم الإرشادات أو الدعم الفني الكافي. 

تم تشكيل المنظمة المهنية الجديدة» التي سميت بعد ذلك بجمعية مدققي معالجة 
البيانات الإلكترونية 4550612101 E۶ Auditors‏ لدعم هؤلاء العاملين الجدد بالتدقيق 
الداخلي. ويرمز الاختصار 810 إلى معالجة البيانات الإلكترونية Electronic Data)‏ 
518 )؛ وهو أحد المصطلحات القدهة لنظم وعمليات تقنية المعلومات. ويُعْرَف 
هؤلاء المهنيون اليوم بأنهم مدققو تقنية المعلومات كما يطلق على المنظمة المهنية الرئيسية 
التابعين لها الآن اسم جمعية ضبط وتدقيق نظم المعلومنات Information Systems)‏ 
Audit and Control Association‏ وهي متظمة منهنية هامة في مجال حوكمة تقنية 
المعلومات وقد تقدم ذكرها للمرة الأولى في الفصل الخامس من هذا الكتاب. يكون مدققو 
تقنية المعلومات غالباً متخصصين في الإدارات التقليدية للتدقيق الداخليء ولكن يرتبطون 
كرا ات خا قادو فة الرقيتية أو العمل كلك هة مهارن ومن 
ولهم دور هام جدا في وضع ومتابعة العمليات الفعالة لحوكمة تقنية ال معلومات في المؤسسة. 

يتعين على كبار مديري الأعمال فهم أدوار ومسؤوليات المدققين الداخليين فيما يخص 
حوكمة تقنية المعلومات في مؤسساتهم: مع إيلاء المزيد من الاهتمام بأخصائيي تدقيق 
تقنية المعلومات التابعين لها. فبالإضافة إلى الدور الذي يلعبه التدقيق الداخلي في تقد 
التقارير إلى لجنة التدقيق التابعة مجلس الإدارةء له دور ووظيفة خاصة جداً في المؤسسة. 
فهو بشكل عام يعمل بصفته نوعاً من أنواع الوظائف التعاونيةء فهو يقوم بوضع الجدول 
الزمني والأنشطة الخاصة به غير أنه يدعم الإدارة العليا من خلال المراجعات والأنشطة 
والتقييمات. وستتحدث الأقسام التالية عن بعض المسؤوليات الهامة للتدقيق الداخلي في 
حوكمة تقنية المعلومات المؤسسية. 


oY‏ دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


دور التدقيق الداخلي في الحوكمة 


أنشطة التدقيق الداخلي ومسئولياته المرتبطة بحوكمة تقنية المعلومات: 

"كن حذراً. فالمدققون قادمون!" لقد شاع استخدام هذا النوع من التحذيرات في الماضي 
القريب عندما كانت إدارة التدقيق الداخلي تخطر مدير المؤسسة بأنهم قاموا بإعداد 
جدول زمني لمراجعة أحد التطبيقات أو العمليات الخاصة بتقنية المعلومات بشكل عام 
أو بعض المجالات الأخرى ذات الاهتمام. وقد كانت ردة الفعل الطبيعية وقتها لصاحب 
عمليات تقنية المعلومات هي أن يقول بأن عمليات التدقيق المخطط لها قد تمت جدولتها 
في "الوقت غير المناسب" وذلك للعديد من الأسباب. ومع ذلكء كان موعد التدقيق الداخلي 
المخطط له قد تم تخديدة قرسا وأن التدقيق الداخلي سيقوم بإجراء المراجعات الخاصة 
بهم» وسيتم إعداد تقارير عن النتائج» وسيكون المدير وقتها هو الممسؤول عن الرد على 
جميع الملاحظات الخاصة بالتدقيق وتنفيذ الإجراءات التصحيحية الموصى بها. 


إن كبار المديرين بحاجة إلى فهم وإدراك مجمل عملية التدقيق الداخلي والكيفية التي 
يتم من خلالها جدولة وتنفيذ عمليات التدقيق الداخلي ومن ثم القيام بإعداد التقارير 
الخاصة بها. وبالرغم من احتمالية وجود العديد من الاختلافات, اعتماداً على حجم ودرجة 
تعقيد المنظمة وأهداف عملية التدقيق» فإن العملية النموذجية للتدقيق الداخلي تحتاج 
إلى جدولة عملية المراجعة والقيام بتقييم المخاطر وتنفيذ إجراءات التدقيق الضروريةء ومن 
ثم إعداد تقارير عن نتائج التدقيق وإرسالها إلى إدارة ولجنة التدقيق. لسنا هنا بصدد 
وصف الكيفية التي يتم من خلالها تنفيذ عمليات التدقيق الداخليء ولكننا نهدف بشكل 
عام إلى تحقيق فهم لهذه العملية. ومع ذلك فالنقطة الأساسية هنا هي أن الأشخاص 
الذين يقومون بتنفيذ عمليات التدقيق الداخلي لا ينبغي أن يتصرفوا بصفة استشاريين 
داخليين. وكما وضحنا في وصفنا المختصر للمعايير المهنية للتدقيق الداخلي في القسم التالي» 
فإنه يتعين على المديرين التنفيذيين الذين م يشاركوا بشكل مباشر في عملية التدقيق 
الداخلي أن يدركوا أن الدور الرئيسي للتدقيق الداخلي هو فحص ومراجعة واختبار الضوابط 
الداخلية والعمليات المرتبطة بها. أما إذا تصرفت وحدة التدقيق الداخلي كما لو كانت 
هيئة استشارية داخلية» وجب أن يتم اتخاذ ترتيبات منفصلة» وفي مثل هذه الحالة يتعين 
على جميع الأطراف أن تدرك أن الأنشطة الاستشارية الداخلية منفصلة ومختلفة عن 
أنشطة التدقيق الداخلي. 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات or‏ 


الفصل التاسع عشر 


عملية التدقيق الداخلي: التخطيط لعمليات التدقيق الداخلي ومنح الترخيص الخاص بها: 

إن إدارة التدقيق الداخلي في المؤسسة النموذجية ليست إدارة منفصلةء مثل إدارة 
المشتريات أو حساب المقبوضات أو الإدارة الهندسيةء وإنما إدارة التدقيق الداخلي وكذلك 
رئيس التدقيق الداخلي - يسمى عادة مدير التدقيق الداخلي (081) - هو من يقوم 
بإعداد التقارير وإرسالها مباشرة إلى لجنة التدقيق التابعة مجلس الإدارة. وقد تم فرض 
هذا المطلب في الولايات المتحدةء من قبل هيئة الأوراق المالية والبورصة الأمريكية (580). 
وعلى الرغم من أنه قد يكون لعملية التدقيق الداخلي علاقة اسمية بعملية إعداد التقارير 
وإرسالها إلى المدير المالي (0780) أو بعض الوظائف الإدارية الأخرىء فإنه يجب أن يكون 
للتدقيق الداخلي علاقة مستقلة مع لجنة التدقيق. 

ويتم التكليف للقيام بأنشطة التدقيق الداخلي من خلال وثيقة رسمية تعرف بميثاق 
التدقيق الداخليء والتي تتم الموافقة عليها من قبل لجنة التدقيق» ونح فريق التدقيق 
الداخلي السلطة الكاملة لإجراء مراجعات مستقلة وفحص للمواد. فمن منظور حوكمة 
تقنية ا معلومات» على سبيل ا مثالء فإن وثيقة الميثاق تُعْطي فريق التدقيق الداخلي السلطة 
للدخول على العمليات التشغيلية مركز البيانات ومراجعة التقارير واممواد السرية الأخرى 
التي تعد جزءاً من عمليات التدقيق المخطط لها. 

الشكل التوضيحي (1-19) بعد مثالاً لميثاق التدقيق الداخاي لإحدى الشركات. وهي 
الشركة العامية لمنتجات الحاسب Computer Products)‏ 61021): وهو نموذج الشركة 
الذي تم استخدامه سابقا. إذ يبين هذا الميثاق بوضوح "تعليمات التقدم وصندء3ج 
5 الخاصة بإحدى إدارات التدقيق الداخلي. وعندما يكون لدى المسؤول التنفيذي 
للشركة أي شكوك تتعلق بأنشطة وسلطة المدققين الداخليينء ينبغي عليه أن يطلب الاطلاع 
على نسخة من ميثاق التدقيق الداخلي الخاص بهم. فإذا تبين أن هذا الميثاق قد أهمل 
بعض المجالات كالقضايا المتعلقة بحوكمة تقنية المعلومات أو أنه منتهي الصلاحيةء فإنه 
يتعين على المسئول التنفيذي أن يطلب من رئيس لجنة التدقيق C4۴‏ الشروع في إجراءات 
تحديث الميثاق. 


لاه دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


دور التدقيق الداخلي في الحوكمة 


شكل توضيحي (۱-۱۹) 
عينة لميثاق التدقيق الداخلي 
إدارة التدقيق الداخلي 


ميثاق تصريح 


مهمة التدقيق الداخلي: 

إن مهمة التدقيق الداخلي للشركة العاطية لمنتجات الحاسب (5اءناكمء2 Computer‏ 1دداه1©)هو التأكد 
من أن عمليات الشركة تتبع معايير عاليةء وذلك من خلال توفير إدارة ضمان مستقلة وموضوعية وتقديم 
المشورة بشأن أفضل الممارسات. فباستخدام نهج منظم ومنضبطء يساعد التدقيق الداخلي الشركة العلمية 
ممنتجات الحاسب على تحقيق أهدافها من خلال تقييم وتحسين فاعلية إدارة المخاطر والرقابة الداخلية 
وعمليات الحوكمة. 


الاستقلالية والموضوعية: 

لضمان الاستقلالية فإن تقارير التدقيق الداخلي تدم مباشرة إلى لجنة التدقيق التابعة لمجلس الإدارة, 
وللحفاظ على ا موضوعية» فإن التدقيق الداخلي لا يشارك في عمليات التشغيل اليومية للشركة أو إجراءات 
الرقابة الداخلية. 

النطاق والمسؤوليات: 

يشمل نطاق عمل التدقيق الداخاي مراجعة إجراءات إدارة ا مخاطر والرقابة الداخلية ونظم تقنية 
اللعلومات وعمليات الحوكمة. ويشمل هذا العمل أيضاً الاختبار الدوري للمعاملات ومراجعة أفضل ا ممارسات 
والتحقيقات الخاصة وتقييم المتطلبات القانونية والتنظيمية والقياسات للمساعدة في منع واكتشاف الاحتيال. 

للوفاء مسؤولياتهاء يتعين على التدقيق الداخلي: 

- تحديد وتقييم المخاطر المحتملة لعمليات تشغيل اممؤسسة. 

- مراجعة مدى كفاية الضوابط ا موضوعة لضمان الامتثال للسياسات والخطط والإجراءات وأهداف العمل. 

- تقييم موثوقية وأمن المعلومات المالية والإدارية والنظم الداعمة وعمليات التشغيل التي نتج هذه المعلومات. 

- تقييم وسائل حماية الأصول. 

- مراجعة العمليات القائمة واقتراح تحسينات لها. 

- تقييم استخدام الموارد فيما يتعلق بالاقتصاد والكفاءة والفاعلية. 

- متابعة التوصيات للتأكد من أن الإجراءات التصحيحية الفعالة يتم اتخاذها وتطبيقها فعلاً. 

- تنفيذ التقييمات أو التحقيقات أو ا مراجعات المتعلقة موضوع ما وا مطلوبة من قبل لجنة التدقيق والإدارة. 





دليل المستول التنفيذي لحوكمة تقنية المعلومات ovo‏ 


الفصل التاسع عشر 


سلطة التدقيق الداخلي: 

من أجل تعزيز ضوابط فعالة بتكلفة معقولةء يُصَرّح للتدقيق الداخليء في حدود نطاق أنشطته» بأن 
يقوم بد 

- دخول جميع مناطق عمليات التشغيل للشركة العاممية لمنتجات الحاسب والحصول على أي وثائق 
وسجلات تعتبر ضرورية لإتمام المهام المكلفة بها. 

- مطالبة جميع أعضاء طاقم العمل والإدارة بتزويدهم بالمعلومات والإيضاحات المطلوبة خلال فترة 
زمنية معقولة. 

المساءلة: 

يتعين على التدقيق الداخلي أن يقوم» بالتنسيق مع إدارة ولجنة التدقيقء بإعداد الخطة السنوية للتدقيق 
التي تعتمد على مخاطر العمل ونتائج التدقيقات الداخلية الأخرىء ومدخلات الإدارة. ويجب أن تُقدّم الخطة 
للإدارة العلياء متضمناً ذلك امستشار العام» للموافقة عليها من قبل لجنة التدقيق. وإن كان هناك أي تعديلات 
ضرورية على الخطة ينبغي إرسالها وا موافقة عليها من قبل لجنة التدقيق. 

إن التدقيق الداخلي هو المسؤول عن التخطيط والتوجية وإعداد وتقديم التقارير ومتابعة مشاريع 
التدقيق المدرجة في خطة التدقيق واتخاذ قرار بشأن نطاق وتوقيت هذه التدقيقات. وسيتم الإبلاغ عن 
نتائج كل عملية من عمليات التدقيق الداخلي من خلال تقرير التدقيق التفصيلي الذي يلخص أهداف 
ونطاق التدقيق وكذلك الملاحظات والتوصيات. وفي جميع الحالات» سيضطلع عمل امتابعة بضمان 
الاستجابة الكافية لتوصيات التدقيق الداخلي. وسوف يُقدّم التدقيق الداخلي أيضا تقريراً سنويا إلى الإدارة 
العليا وإلى لجنة التدقيق حول نتائج أعمال التدقيق, متضمناً ذلك التعرض للمخاطر المؤثرة وقضايا الرقابة. 

المعايير: 

يلتزم التدقيق الداخلي للشركة العالمية لمنتجات الحاسب با معايير والممارسات المهنية الصادرة عن معهد 
المدققين الداخليين ومعهد حوكمة تقنية المعلومات كذلك. 





بينما قد تُلزم أو تطلب لجنة التدقيق من الرئيس التنفيذي للتدقيق الداخلي °۸۴ 
وإدارة التدقيق الداخلي التابعين لهاء القيام بإجراء إحدى المراجعات المحددة للتدقيق 
الداخاي؛ يقوم التدقيق الداخلي عادة من خلال التقييمات المستمرة للمخاطر أو طلبات 
الأعضاء الآخرين في الإدارة أو من خلال خبراتها المكتسبة من عمليات أخرى كانت قد أجرتها 
للتدقيق الداخلي - بتطوير خطط قصيرة الأجل وأخرى طويلة الأجل لعمليات التدقيق 
الداخاي التي تُخطط لتنفيذها خلال الفترة القادمة. فبالاعتماد على هذه الخطة وكذلك 
على عمليات التدقيق المكتملة في الماضي القريب» يتعين على الرئيس التنفيذي للتدقيق 


o۷1‏ دليل المستول التنفيذي لحوكمة تقنية ا معلومات 





دور التدقيق الداخلي في الحوكمة 


04 اتخاذ جميع التدابير والترتيبات الضرورية الخاصة بموظفي التدقيق الداخلي وغيرها 
من الموارد لتنفيذ هذا البرنامج الخاص بعمليات التدقيق الداخلي المخطط لها للمؤسسة. 


عملية التدقيق الداخلي: تدشين عملية التدقيق الداخلي: 

يوضح الشكل التوضيحي )۲-٠۹(‏ العمليات اللازمة لإجراء عملية التدقيق الداخلي 
المكونة من أربعة مراحل أو خطوات مختصرة. ومع أن الخطة السنوية تستلزم أن 
يتم إجراء التدقيق الداخلي في أحد المناطق » فإنه من باب ال مجاملةء وبشكل عام 
تقتضي أن يقوم التدقيق الداخلي بالعمل مع المنطقة التي يتم مراجعتها لجمع بعض 
التفاصيل الأولية حول المنطقة محل المراجعة وجدولة عملية التدقيق. هناك العديد 

من التقناطات لكل :فرجلة من 'الكراخل وة بالفتكل- غان مل اللقال :قدهة. 

ا مرحلة ذات المستوى الأعلى إلى: 

٠‏ جدولة التدقيق: بعد أن تم وضع الخطة السنوية الشاملة للتدقيق والمعتمدة من قبل 
لجنة التدقيق» يجب أن يتم وضع جدول زمني لعملية التدقيق المحددة. مع الأخذ بعين 
الاعتبار الاحتياجات الخاصة بموارد التدقيق واعتبارات الوقت الخاصة بالجهة الخاضعة 
للتدقيق؛ وغيرها من العوامل. 

٠‏ تعيين المدققين: يكون هناك غالباً ندرة في الموارد البشرية العاملة في تدقيق تقنية 
المعلومات. لذا يجب إيلاء المزيد من الحرص والاهتمام لعملية تعيين أخصائيي تدقيق 
تقنية المعلومات للمهام ا مناسبةء في حين أن المدققين الداخليين ذوي المهارات الأخرى 
ينبغي أن يتم تعيينهم في الأماكن الأنسب لهم. 

٠‏ إجراء التقييمات الأولية للتدقيق: قد يقوم التدقيق الداخلي بجدولة عمليات المراجعة 
الخاصة بتقييم الضوابط الداخلية لإحدى النظم أو العمليات» ولكن قبل البدء في العمليات 
الفعلية للتدقيق: يكون من الضروري القيام بجمع المزيد من المعلومات المتعلقة بالمنطقة 
املراد مراجعة عملياتها وإجراء بعض التقديرات الأولية حول مداها وعمقها وجميع الضوابط 
الداخلية وا مخاطر المرتبطة بهاء وبالأساليب المستخدمة لتقييم المنطقة المراد مراجعتها. 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات ow‏ 


الفصل التاسع عشر 
شكل توضيحي (9-19) 
عملية أداء التدقيق الداخلي 


العمليات الأساسية لأداء التدقيق الداخلي 





اص | 





٠‏ توثيق العمليات الخاصة بالمنطقة التي يتم تدقيقها: يعد التوثيق المناسب مطلباً رئيسياً 
لجميع أعمال التدقيق الداخلي. ولا يكفي القول بأن لدى إحدى العمليات ضوابط 
ذاخلية كافية. فالمدقق الداخلي يجب عليه أن يقوم بجمع الأدلة الوثائقية لإثبات أن 
هذه الضوابط كافية في الوقت الذي يقوم فيه المدقق با مراجعة. 


0۷۸ دليل المسئول التنفيذي لحوكمة تقنية المعلومات 








دور التدقيق الداخلي في الحوكمة 


٠‏ تقييم الضوابط الداخلية: إن تقييم الضوابط الداخلية في الحقيقة هو جوهر عملية 
التدقيق الداخلي. فالمدقق الداخلي يأخذ الضابط الداخلي الذي هو بصدد تقييمه ويقوم 
بوضع خطة اختبار لتقييم هذا الضابط. وقد يحتاج ذلك إلى جمع أدلة التدقيق وإجراء 
اختبارات التدقيق» كما هو مبين في المستوى التالي للعمليات الموضحة بالشكل. 

٠‏ تحضير وإعداد النتائج: يقوم المدقق الداخلي باختبار وتقييم الضوابط الداخلية من خلال 
استخدام مجموعة متنوعة من الأساليب» والتي تبدأ من الاختبار الرسمي للمعاملات إلى 
الحصول على الانطباعات من خلال المقابلات أو الملاحظات» وهي تسمى غالبا نتائج 
التدقيق الداخلي. وقد تجد نتائج وملاحظات الاختبار هذه طريقها أخيراً إلى تقرير 
رسمي للتدقيق الداخلي يلخص تلك النتائج والتوصيات الخاصة بالتدقيق. 

لقد قمنا للتو بوصف الخطوات الرئيسية في عملية التدقيق الداخليء فالمدقق الداخلي 
سوف هر بالنمط نفسه من الخطوات في كل منطقة من المناطق التي يقوم بمراجعتها. لا 
يهدف هذا الفصل إلى تقديم وصف شامل للكيفية التي يتم من خلالها إجراء عملية التدقيق 
الداخلي لكبار المسؤولين التنفيذيينء ولكن يهدف إلى إعطاء فهم للعمليات اللازمة لإجراء 
التدقيق الداخلي المناسب. ستبقى هذه الخطوات الأساسية هي نفسها سواء أكانت لمراجعة 

الضوابط المالية لإحدى العمليات أم للمراجعة أحد تطبيقات النظم الخاصة بتقنية المعلومات. 


عملية التدقيق الداخلي: مراجعة أدلة التدقيق واختبارها: 

يحتاج الجزء الأكبر من عملية التدقيق الداخلي إلى جمع ومراجعة واختبار ما يُطلق 
عليه المدققون الداخليون اسم أدلة التدقيق ع©م7146© انك ۸. فقد يسأل المدقق الداخلي 
عن حالة التوثيق الخاصة بأحد التطبيقات الجديدة لتقنية المعلومات» ويتم إخباره بأن 
التوثيق "حديث". فإذا كان النظام أو التق انوا فقد يقوم المدقق باعتماد وتدوين 
تلك الإجابة والمضي قدماً. في جميع الأحوال فلكي يكون لدينا أدلة قوية على حداثة ذلك 
التوثيقء فقد يقوم المدقق الداخلي بطلب مراجعة التوثيق الفعاي للتأكد من وجودها. 
ولمزيد من التفاصيلء قد يقوم المدقق الداخلي بالتعمق أكثر في التوثيق وفحص أمور منها 
على سبيل الثال مدى ملاءمة التنقيحات التي تمت عليهاء أو أن يقوم بإجراء المزيد من 
الفحوصات المختلفة ليرى ما إذا كانت هذه الوثيقة كافية وداعمة لضوابط النظام. 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات 0۷4 


الفصل التاسع عشر 


تتطلب هذه العملية برمتها أن يقوم المدقق الداخلي بتقييم مدى كفاية أدلة التدقيق 
الموجودة وإجراء بعض التقييمات بناء على عمل التدقيق الداخلي. الشكل التوضيحي 
(19-) يبين أنواعاً مختلفة من أدلة التدقيق من الأقوى إلى الأضعف. ويبين العمود الأول 
أنواع أدلة التدقيق: فتقنية التدقيق الخاصة بمشاهدة ممارسة ما على أرض الواقع تعد أقوى 
بكثير من مجرد الإخبار عن تلك الممارسة. لا توجد أي مطالبة تتعلق بوجوب دعم كل 
أعمال التدقيق الداخلي من قبل أقوى مستويات الأدلة. حيث إن طبيعة التدقيق الداخلي 
وا مخاطر المرتبطة بها تعد من العوامل المحَددّة للمستوى المطلوب لأدلة التدقيق: فإنه 
يجب ذاما عان لدم الأول :الذي يعمل مع اللدقفين الذاغليق ويقوم معالحة التوضيات 
الناتجة عنهم أن يأخذ في الحسبان الطريقة التي يستخدمها هؤلاء المدققون في جمع أدلة 
التدقيقات الداعمة لنتائجهم واستنتاجاتهم الموثقة. 


عملية التدقيق الداخلي: تقديم التقارير الخاصة بنتائج التدقيق الداخلي: 

يجب أن تُخْتَتَم الأعمال الخاصة بعملية التدقيق الداخلي بتقرير رسمي يصف الأهداف 
التي من أجلها تمت هذه المراجعة في منطقة ماء وما الإجراءات المتبعة لتقييم الضوابط 
الداخلية الخاصة بهذه الأهداف التدقيقية, وما الذي تم اكتشافه. وما إذا كانت الضوابط 
الداخلية ا موجودة قد قَيّمَت بشكل كاف أم لا. في معظم الحالات» نجد أن هذه التقارير 
الخاصة بعملية التدقيق سوف تؤدي إلى توصيات رسمية تتعلق بإجراء تحسينات على 
الرقابة الداخلية بناء على نتائج التدقيق في ا مجال الذي تمت مراجعته. وعلى الرغم من 
أن الممارسات قد تختلف باختلاف المؤسسات. فإن تقارير التدقيق الداخلي عموماً ستحتاج 
إلى استجابة إدارية رسمية تقر بنتائج التدقيق الداخلي وتوضح الكيفية التي سيستخدمونها 
لتصحيح أوجه القصور في الرقابة المبلغ عنها بالتقرير. 


0۸° دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


دور التدقيق الداخلي في الحوكمة 


شكل توضيحي (۳-۱۹) 
تصنيفات جوانب قوة التدقيق الداخلي الخاصة بأدلة التدقيق 
تصنيفات أدلة التدقيق الداخلى الأدلة الداعمة القوية أضعف المستويات لأدلة 
التي تم جمعها 1 لاستنتاجات التدقيق التدقيق الداخلي 


واد ا کاک 





ESE. 
لا يتم تعميم التقارير الخاصة بعملية التدقيق على ال مؤسسة. فهي تكون عادة موجهة‎ 
فقط إلى منطقة محددة من مناطق المؤسسة التي تمت مراجعة عملياتها وإلى مديريها‎ 
المباشرين وإلى الإدارة العليا في المؤسسة كذلك. مثل الرئيس التنفيذي والمدير المالي وشريك‎ 
التدقيق الخارجي ولجنة التدقيق. إن نتائج التدقيق السيئة لعمليات التشغيل في إحدى‎ 
الوحدات التي تمت مراجعتها سوف تؤدي إلى جعل التركيز بالفعل ينصب على الإدارة‎ 
للقيام بتصحيح أو إصلاح أوجه القصور في الرقابة الداخلية في تلك الوحدة. وقد يكون ذلك‎ 
أحد العناصر الهامة في حوكمة تقنية المعلومات.‎ 
يجه المدققون الداخليون غالباً في العديد من المناطق التي يقومون فيها بمراجعة‎ 
عملياتها مشاكل تتعلق بضيق الوقت وقلة الموارد اللازمة لمراجعة وتدقيق جميع المناطق‎ 
ذات المخاطر العالية في المؤسسات الكبيرة بصورة كافية. فعلى سبيل ال مثال» كان مؤلف‎ 
هذا الكتاب في قترة هن الفسترات تعمل كديرا لإحدى عمليات التدقيق الداخلي الخاصة‎ 
بإحدى الشركات الأمريكية الكبرى التي تحتوي على العديد من الوحدات التشغيليةء وكان‎ 
لكل وحدة تشغيلية ثلاثة من مديري التدقيق الداخلي وما يقارب ثمانين موظفا يعملون‎ 
في مجال التدقيق الداخلي. فعلى الرغم من التحليل المكثف للمخاطر والخطط السنوية‎ 


دليل امستول التنفيذي لحوكمة تقنية المعلومات 01 


الفصل التاسع عشر 


المنظمة جيداً لعمليات التدقيق الداخليء فإنه كان من الصعب استكمال جميع غمليات 
التدقيق المخطط لها وتغطية جميع المخاطر. لذا تم تعديل الخطط وإعادة ملاءمتها بصورة 
منتظمة بسبب الأزمات الجديدة للأعمال التي تتطلب المزيد من أنشطة التدقيق. إن 
الأنشطة الاحتيالية المكتشفة حديثاً. على سبيل المثالء من شأنها أن تحول أنشطة التدقيق 
الداخلي الأخرى للمساعدة في التحقيق في مزاعم الاحتيال على نحو أفضل. 

وينبغي على القارئ الذي يريد الحصول على مزيد من المعلومات حول التدقيق الداخلي 
ودوره في حوكمة تقنية المعلومات أن يعود إلى كتاب المؤلف السالف الذكرء التدقيق 
الداخلي الحديث لبرينك (1]108لناث .)Brink's Modern Internal‏ فهذا الكتاب يضع 
ف لهيكل المعرفة الشائع للتدقيق الداخلي ‏ وا مجالات الواسعة التي يجب على المدقق 
الداخلي أن يعرفها ويفهمها. 

معايير التدقيق الداخلي الخاصة بحوكمة تقنية المعلومات: 


إن المنظمة المهنية للمدققين الداخليينء معهد المدققين الداخليين (114)» هي المسؤولة 
عن إصدار معايير الممارسة والسلوك لجميع المدققين الداخليين» وذلك على أساس عالمي. 
هذه الإرشادات الرسمية عبارة عن مزيج من بيانات المعايير الإلزامية المطلوبة والضرورية 
لممارسة مهنية مستمرة لعملية التدقيقء بالإضافة إلى سلسلة من ممارسات المعايير الموصى 
بها بقوة. إن هذه المعايير الخاصة بمعهد المدققين الداخليين تذهب إلى ما هو أبعد من 
أن تكون مجرد معايير لحوكمة تقنية المعلومات» فهي تغطي نشاطات التدقيق الداخلي 
للحوكمة على أساس واسع. فعلى سبيل المثال» ينص ا معيار ۸2 .2110 لمعهد المدققين 
الداخليين 114 والخاص بالأداء على أن: 
"نشاط التدقيق الداخلي يجب أن يُقيّيم ويحدد ما إذا كانت حوكمة تقنية المعلومات التابعة 
للمنظمة تحافظ على إستراتيجيات وأهداف المنظمة وتدعمها." 
وعلى الرغم من الأسلوب العام المستخدم في صياغة المعيارء فإنه يطلب في الأساس من 
المدقق الداخلي أن يقوم بتقييم ما إذا كانت البنية التحتية لتقنية المعلومات في المؤسسة 
ملانمة وكافية للعمليات التشغيلية للأعمال والمحافظة عليها بحيث يتم إدارة جميع 
الأهداف الطويلة الأجل للمؤسسة بأكملها بشكل صحيح. 


oY‏ دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


دور التدقيق الداخلي في الحوكمة 


إجراءات التدقيق الداخلي الخاصة بحوكمة تقنية المعلومات: 

استناداً إلى حديثنا في الفصول السابقة عن حوكمة تقنية ا معلومات» فإن الأهداف 
الرئيسية لحوكمة تقنية المعلومات هي التأكد من أن الاستثمارات في تقنية المعلومات 
توجد قيمة للأعمالء وتخفف من المخاطر المرتبطة بعمليات ونظم تقنية المعلومات. يمكن 
للعديد من الأنشطة الخاصة بمراجعات عمليات التدقيق الداخلي أن قلعن :دو راا زا 
في دعم حوكمة تقنية المعلومات في المؤسسة. مثال على ذلك نشاط التدقيق الداخلي 
المستمر لتقنية المعلومات عبارة عن مراجعات وتقييمات للخطط الخاصة باستمرارية تقنية 
المعلومات المؤسسية» التي كانت تسمى في فترة من الفترات خطط التعافي من كوارث تقنية 
المعلومات في زمن نظم الحاسبات المركزية. وإن إدارة تقنية المعلومات في المؤسسة تحتاج 
إلى عمليات معمول بها لاستعادة العمليات التشغيلية والموارد الخاصة بتقنية المعلومات 
وإعادتها إلى مستوياتها التشغيلية الطبيعية في حال حدوث عطل ما طويل الأجل في خدمات 
تقنية المعلومات. إن مراجعات وتقييمات التدقيق الداخلي في هذا المجال تدعم إلى حد 
كبير عمليات حوكمة تقنية المعلومات ف اممؤسسة. 

وقد تدعم عمليات التدقيق الداخاي إلى حد كبير العمليات الخاصة بحوكمة تقنية 
المعلومات المؤسسية من خلال إجراء المراجعات والتقييمات في هذه المجالات العامة. 
الشكل التوضيحي (6-15) يحدد خمسة مجالات عامة يجب أن يركز عليها التدقيق 
الداخلي أثناء مراجعاته لحوكمة تقنية المعلومات: إيصال القيمة وإدارة ا مخاطر والموارد 
والأداء وقضايا التوافق الإستراتيجي. إن المعايير ا مهنية للتدقيق الداخلي تتطلب المستويات 
التالية من أنشطة أعمال المراجعة لعملية التدقيق الداخلي: 
٠‏ مراجعة وتقييم عملية إيصال القيمة المرجوة من إدارة تقنية المعلومات: وكيف تتماشى 

تقنية المعلومات مع رسالة ورؤية وقيم وأهداف وإستراتيجيات المنظمة. 


٠‏ مراجعة ما إذا كان لدى إدارة تقنية المعلومات بيان واضح عن الأداء المتوقع للعمل (من 
حيث الفاعلية والكفاءة) وتقييم مدى إنجازه. 


٠‏ مراجعة وتقييم فاعلية عمليات إدارة موارد تقنية المعلومات وأدائها. 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات or‏ 


الفصل التاسع عشر 


شكل توضيحي )٤-۱۹(‏ 


مجالات تركيز التدقيق الداخلي لحوكمة تقنية المعلومات 


الداخلي الخاص 
بحوكمة تقنية المعلومات 





اعت 


ه٠‏ مراجعة وتقييم التوافق مع المتطلبات القانونية والبيئية ومتطلبات جودة المعلومات 
والمتطلبات الائتمانية والأمنية. 

٠‏ مراجعة وتقييم البيئة الرقابية للمنظمة. 

٠‏ مراجعة وتقييم المخاطر التي قد تؤثر سلباً في بيئة تقنية المعلومات. 


0 دليل المستول التنفيذي لحوكمة تقنية ا معلومات 


دور التدقيق الداخلي في الحوكمة 


يجب أن يدرك ويعترف المديرون التنفيذيون للأعمال غير المشاركين في مهام التدقيق 
الداخلي بأن إدارة التدقيق الداخلي هي كيان مستقل في المؤسسة: ولا يستطيع أي مدير 
تنفيذي من خارج لجنة التدقيق أن يقوم بإعطاء توجيهات لعملية التدقيق الداخلي للقيام 
بإجراء مراجعات في منطقة ما. وأن خطط مراجعة التدقيق الداخلي الخاصة بهم ينبغي 
ألا يتم وضعها إلا من خلال موافقة لجنة التدقيق. ومع ذلك ينبغي أن يشعر الموظفون 
التنفيذيون للعمليات التشغيلية في المؤسسة أو إدارة تقنية المعلومات بأن لديهم مطلق 
الحرية في أن يسألوا الرئيس التنفيذي للتدقيق وغيره من أعضاء إدارة التدقيق الداخلي 
عن خططهم وأنشصطتهم الحالية في مراجعة النواحي الرئيسية التي تخص حوكمة تقنية 
المعلومات في اممؤسسة. 


مراجعات التدقيق الداخلي لعمليات التوافق الإستراتيجي لتقنية المعلومات: 

ومن ضمن الخطط السنوية والأنشطة الجارية لإدارة تقنية المعلومات في المؤسسة: أنه 
يجب على التدقيق الداخلي القيام بتقييم ما إذا كانت تلك الخطط والعمليات التشغيلية 
الخاصة بتقنية المعلومات تنسجم مع أنشطة الأعمال الأخرى في المؤسسة. العنصر الرئيسي 
لتحقيق ذلك هو أنه يجب على جميع العمليات التشغيلية لتقنية ا معلومات» متضمناً ذلك 
تطوير النظم وإدارة الجودة ومعالجة تقنية المعلومات أن تنسجم مع العمليات التشغيلية 
للأعمال. بمعنى أنه يجب أن يكون للعمليات التشغيلية لتقنية ا معلومات قيمة وموقع 
تنافسي في المنتجات والخدمات التي تقدمها المؤسسة. إن إدارة تقنية المعلومات يجب أن 
تسعى جاهدة للحفاظ على تكاليفها من خلال تحسين الكفاءة والفاعلية الإدارية. وعلى 
الرغم من أن هذه الأمور تمثل كل النداءات الخاصة بإدارة تقنية المعلومات والإدارة العامة 
فإنه يجب دائما على إدارة التدقيق الداخلي القيام بطرح بعض الأسئلة الصعبة أثناء قيامها 
بمراجعة أنشطة الأعمال. 

كما ذكرنا سابقاً فإن الإدارة الفعالة لتقنية المعلومات ينبغي أن يكون لديها نوع من 
أنواع اللجان التوجيهية» التي تقوم بمهمة التخطيط الطويل الأجل حيث يكن أن يلتقي 
مزيج متنوع من مستخدمي موارد تقنية المعلومات مع إدارة تقنية المعلومات ليقوموا 
مراجعة أو الموافقة على المقترحات الجديدة وتحديد الأولويات المتعلقة بالأعمال الجديدة. 


دليل المستول التنفيذي لحوكمة تقنية المعلومات o۸0‏ 


الفصل التاسع عشر 


يجب على عمليات تدقيق تقنية المعلومات أن توصي وتشدد على وجود وجاهزية هذه 
الإدارة الفعالة» كما يجب أن تشارك في أغلب الاجتماعات التي تجريها تلك اللجنة التوجيهية. 
ويجب أن تقوم اللجنة التوجيهية بوضع إستراتيجية بعيدة المدى لأنشطة واستتثمارات 
تقنية المعلومات والمراجعات الدورية للتدقيق الداخليء من خلال المشاركة غير الفعالة في 
جلسات اللجنة التوجيهية أو المراجعات الرسمية للتدقيق الداخليء وينبغي تأكيد أن تكون 
هذه الإستراتيجية لتقنية المعلومات في موضوع التنفيذ وجاهزة للعمل. 

لا بد من وجود نهج متكامل لعمل المؤسسة وإستراتيجية تقنية المعلومات: ومهام ذات 
مسؤولية تشاركية بينهما. وبالإضافة إلى ذلكء وعلى الرغم من أن إدارات تقنية المعلومات 
تكون ملامة أحياناً على تبنيها لأماليب جديدة وغير مجربةء فإنه يجب أن يكون هناك 
تصريح واضح بأهداف تلك الأساليب المتبعة. وقد تمثل عملية التدقيق الداخلي من خلال 
مراجعاتها وتعليقاتها التدقيقية الصوت الفعال للمساعدة في ضمان تحقيق هذه الأهداف. 


مراجعات التدقيق الداخلي لعمليات إيصال قيمة تقنية المعلومات: 

يجب أن تكون مراجعات التدقيق الداخلي مصممة لضمان استمرار تقديم تقنية 
المعلومات لفوائدها المرجوة وفق إستراتيجياتها المعلنة. إن الفكرة هنا هي أن المشاريع 
الجديدة لتقنية المعلومات. سواء كانت عمليات تطبيقية جديدة أو محسنة أم أدوات 
ومعدات جديدة يتم اقتراحها للحصول على الفوائد المتوقعة. ومع أنه من المؤكد أن 
عملية التدقيق الداخلي لن تكون قادرة على مراجعة جميع هذه الأعمالء نتيجة الأولويات 
المفروضة ومحدودية الموارد. فإنه يجب القيام بعملية تقييم دوري للفوائد المعلنة لاكتشاف 
ما إذا كانت الأهداف المعلنة قد تم تحقيقها بالفعل آم لا. ينبغي أن يبحث التدقيق 
الداخلي عن عوائد الاستثمار الرسمية» والتكلفة الإجمالية للملكيةء ووسائل لقياس أعمال 
تقنية المعلومات. 

وكما تحدثنا في الفصل السادس عشر من هذا الكتاب عن موضوع إدارة المشروعات» 
فإن إدارة تقنية المعلومات المؤسسية ينبغي أن يكون لديها عملية رسمية متعارف عليها 
ومعمول بها لإدارة مشاريع تقنية المعلومات لإيصال الفوائد إلى العمليات التشغيلية للأعمال. 
إن تقييم إيصال القيمة يتجاوز كثياً العمليات التقليدية للتدقيق الداخلي التي تركز على 
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الضوابط الداخليةء ويتطلع لإيصال قيمة أفضل للعمليات التشغيلية لتقنية المعلومات. كما 
أن هناك حاجة إلى التزام رسمي لوضع منهجيات رسمية للتطوير الشامل لعملية تقديم 
خدمات تقنية المعلومات. 

إن هذا المفهوم لمراجعات التدقيق الداخلي الخاصة بعمليات تقديم خدمات تقنية 
المعلومات يتجاوز الكثير من الجهود المبذولة في ا مراجعات الاعتيادية للتدقيق الداخلي. وقد 
ناقش الفصل السادس من هذا الكتاب موضوع تقديم خدمات تقنية المعلومات على أنه جزء 
من المفاهيم الخاصة بالإطار آيتل وإدارة خدمات تقنية المعلومات. إن الإدارة الفعالة للتدقيق 
الداخلي تحتاج لاستيعاب هذه المفاهيم ومزجها مع الإجراءات الأخرى للتدقيق الداخلي. 


مراجعات التدقيق الداخلي لعمليات إدارة مخاطر تقنية المعلومات: 

كما أكدنا في الفصل الثامن من هذا الكتاب الذي يدور حول إدارة المخاطر وفي الشروحات 
الأغرى طوال هذة: الفصول:فإن إذارة ابلخاطر تعد مفهوما مهما جذا بالنسبة لحوكمة 
تقنية المعلومات: وأن فهمها ووضعها محل التقدير ينبغي أن يكون بالفعل جزءاً من جميع 
مراجعات التدقيق الداخلي. وهذا يتطلب توعية من كبار المسؤولين عن الرغبة في المخاطر 
الخاصة با مؤسسة. لذا يجب تضمين مسؤوليات إدارة مخاطر تقنية المعلومات في جميع 
مستويات العمليات التشغيلية للأعمال. وهذا المجال يهتم غالباً بعمليات تقنية المعلومات 
حيث كانت هناك ميول تاريخية لتجربة أساليب جديدة للنظم أو التقنيات مع القليل من 
الفهم لأي مخاطر مرتبطة بها. وعلى الرغم من أن إدارة تقنية ا معلومات ومستخدمي 
تقنية المعلومات ينبغي أن يكونوا هم المسؤولين في هذه الحالةء فإنه يكون هناك غالباً ميل 
لتجربة بعض الأساليب الجديدة وغير المجربة مع قليل من التفكير في المخاطر إذا فشلت. 
ويمكن للتدقيق الداخلي في كثير من الأحيان أن يكون فعالاً جداً من خلال أخذ دور محامي 
الشيطان في طرح الأسئلة الصعبة بوصفها جزءاً من مراجعاتها. 

إن العمليات المناسبة لإدارة المخاطر ينبغي أن تركز على حماية أصول تقنية المعلومات 
ودعم النظم من خلال إجراءات التعافي من الكوارث والخطط الفعالة لاستمرارية العمليات 
التشغيلية. لقد كان هذا هو المجال التقليدي لمراجعات التدقيق الداخلي وتدقيق تقنية 
المعلومات» وينبغي تأكيدها على أنها جزء من أنشطة مراجعة حوكمة تقنية المعلومات. 
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ينبغي أن تركز جميع مراجعات التدقيق الداخلي على التوعية بمخاطر تقنية المعلومات 
على أساس من الشفافية لجميع أصحاب المصالح» ولا بد من بذل الجهود من أجل تضمين 
إدازة ا مخاطر باعتبارها جزءا متمماً لامتثال وضمان اللؤسسة. وينض ذلك حقيقة على أن 
إدارة التدقيق الداخلي يجب أن تذهب إلى ما هو أبعد من مجرد المراجعات المتخصصة 
لتدقيق تقنية المعلومات وإضافة مخاوف إدارة مخاطر تقنية المعلومات لجميع المراجعات 
التي تغطي مجالات حوكمة تقنية المعلومات. وبالإضافة إلى العمليات الشاملة للتدقيق 
الداخلي» فإن هناك حاجة إلى إنشاء تقييمات فعالة لإدارة العملية على أنها جزء من 
مراجعات التدقيق الداخلي. 


مراجعات التدقيق الداخلي لعمليات إدارة موارد تقنية المعلومات: 

يتعين على التدقيق الداخلي لتقنية المعلومات أن يراجع ويقيم بانتظام فاعلية عملياته 
الخاصة بإدارة موارد تقنية المعلومات وأدائها. ففي العديد من المؤسساتء تعد مرافق تقنية 
المعلومات وعملياتها التشغيلية إحدى الاحتياجات الرئيسية فيها - إن لم تكن الرئيسية - 
لموارد المؤسسة. وينبغي على الإدارة أن تستثمر في هذه الموارد الخاصة بتقنية المعلومات 
من خلال خطط رسمية لمشروعات طويلة المدى والعمليات المتبعة في وضع اميزانيات 
وقد قامت الفصول الأخرى بتغطية مسائل تتعلق بإدارة موارد تقنية المعلومات من منظور 
عمليات التشغيل الشاملة. على سبيل اممثال» الفصل الرابع عشر من هذا الكتاب ناقش 
أهمية إدارة محافظ وتهيئة تقنية المعلومات لتكون وسيلة لإدارة وضبط الأصول المتنوعة 
لتقنية المعلومات بشكل أفضل. وكذلك ناقش الفصل السابع عشر من هذا الكتاب اتفاقيات 
مستوى الخدمة ليكون وسيلة لتعظيم قيمة استثمارات الأعمال. 

يجب على التدقيق الداخاي أن يخطط ويطور سلسلة من ال مراجعات في هذه المجالات 
الخاصة بإدارة موارد تقنية المعلومات. وفحوى ذلك أنه من الصعب على إدارة التدقيق 
الداخلي مجرد إطلاق مراجعة لإدارة موارد تقنية ا معلومات» عندما يكون الموضوع والمجال 
قرا وار 0 ممراجعة واحدة للتدقيق الداخلي. بل يجب على التدقيق الداخلي 
أن يطور وينفذ مراجعات متخصصة في العديد إن لم يكن جميع مجالات حوكمة تقنية 
امعلومات التي تمت مناقشتها في هذه الفصول. 
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مراجعات التدقيق الداخلي لعمليات قياس أداء تقنية المعلومات: 

يجب تطوير تقنيات لقياس الأداء للمساعدة في ترجمة الإستراتيجيات إلى أفعال 
من أجل تحقيق وقياس إنجازات أهداف تقنية المعلومات. هذا النوع من الأدوات 
يمكن أن يقيس العلاقات والأصول اللازمة لتحقيق التركيز على العميل وكفاءات العملية 
والتسهيلات لمساعدة المؤسسة وإدارات تقنية المعلومات الخاصة بها بشكل كاي في 
التعلم والنمو. هذه الأنواع من الأدوات تتبع عملية تقديم المشاريع ومتابعة خدمات 
تقنية المعلومات. 

الشكل التوضيحي (0-19) يوضح أنواع أنشطة مراجعة وتقييم التدقيق الداخاي اللازمة 
لتعزيز حوكمة تقنية المعلومات في المؤسسة. إن هذا الشكل على مستوى عال جدا ولكن 
يؤكد أن المدققين الداخليين بحاجة إلى مراجعة نظم وعمليات تشغيل تقنية المعلومات 
للمساعدة في تحسين العمليات الشاملة للرقابة الداخلية للمؤسسة وتبسيط وتحسين هذه 
العمليات ورفع توصية بمجالات معينة لأتمتتها بشكل أفضلء واقتراح مجالات يتم عمل 
توحيد قياسي لعملياتها ونظمها بشكل أفضل. 

إن مجالات مراجعة التدقيق الداخلي هذه تغطي مجموعة واسعة من أنشطة التدقيق 
التي تتجاوز شروحات التدقيق الداخلي السابق تلخيصها في هذا الفصل والتي تع چان 
أفضل ممارسات التدقيق الداخلي الشائعة لاحتياجات المعرفة. إن الإدارة الفعالة للتدقيق 
الداخلي ينبغي أن تكون عنصراً رئيسياً في تعزيز العمليات الفعالة لحوكمة تقنية المعلومات 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات 0۸۹ 


الفصل التاسع عشر 


شكل توضيحي (0-19) 


أنشطة مراجعة التدقيق الداخلي لحوكمة تقنية المعلومات 


إعادة تشكيل ضرابط الع 

اعات كل ربا كنف >>[ _لعين الشربط_| 
الحد من تكرار الضمان EPI‏ 

تقض عن رام فش >[ _ تلض | 

الح من تكرار إعاد القزير 

نيش عن راما زر >| _ خبط الي | 


إعلة تصميم السليك زيدة كمل الرقابة 
سین بيط شراط اسنات درن >| _ تسین السايك_| 
إجراء لبف 


إعلة مين الأنوار والمسلوليت 
إزلة إزدواجية ركاخل الضرابطه CSE‏ 
الحد من إزدواجية الأدوار والمساوليات. 


ES rra 
[> لوی ارت رین‎ 
ETE rm 


للفيذ دريب مناسب على النظم والمملية 5 
ادس أل قرب يبلن نهر >>[ اکرب عالق | 
ليم اء المخاطر في جم أنداه فر >> إبار اداه 
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الجزء السادس 
حوكمة تقنية المعلومات وأهداف المؤسسة 


o۹۲ 


الفصل العشرون 
بناء ثقافة أخلاقية في محل العمل والحفاظ عليها 


كما تحدثنا في الفصول السابقةء فإنه لا بد من دمج عمليات حوكمة تقنية ا معلومات مع 
عمليات التشغيل الأساسية لأعمال المؤسسة ويجب أيضاً أن تقع مسؤولية ضمان العمليات 
الصحيحة لحوكمة تقنية المعلومات على عاتق إدارة كل وحدة تابعة أو وحدة أعمال في 
المؤسسة أينما كانت. وباعتبار المؤسسة أحد العناصر الأساسية في هذا الصدد» فإنه يجب 
عليها أن تلتزم بتحقيق أعلى معايير الأخلاق والنزاهة في جميع مجالات عملياتها التشغيلية. 
يجب أن تبدأ نزاهة المؤسسة بالتزام كل أصحاب المصلحة وكل موظف بالقيم الأساسية 
للمؤسسة وبمسؤوليته لأداء دوره بالشكل الذي يتوافق مع تلك القيم ويخدمها. 

يناقش هذا الفصل أهمية أخلاقيات العمل» وسياسات الحوكمة في المؤسسة:؛ وهياكل 
الإشراف والعمليات» والخطوات اللازمة لإنشاء إدارة فعالة لأخلاقيات العمل» ووضع وتطبيق 
قوانين فعالة للسلوكء وإنشاء لجنة فعالة لامتثال المؤسسة تحت رئاسة مجلس الإدارة. إن 
هدفنا هو ذكر بعض أفضل الممارسات التي يمكن للمؤسسة اتباعها وتطبيقها لإرساء ثقافة 
أخلاقية في مكان العمل. 

لا تقتصر القضايا وأفضل الممارسات المذكورة في هذا الفصل على عمليات تشغيل تقنية 
المعلومات وحوكمة تقنية المعلومات بل تمتد لتشمل جميع جوانب المؤسسة. ومع ذلك» 
فإن أفضل الممارسات مثل مدونة قواعد السلوك الفعالة للمؤسسة وبيان المهمة (الرسالة) 
المدعومة من الإدارة العليا ينبغي أن تحصل على الدعم من جميع أصحاب المصلحة في 
المؤسسة. ويجب أن تكون النتيجة النهائية هي بناء الثقافة الأخلاقية في مكان العمل. 


أهمية بيانات المهمة (الرسالة): 

لقد ناقشت الفصول السابقة من هذا الكتاب العديد من القضايا الهامة في حوكمة 
تقنية المعلومات» وركز معظمها على الحاجة إلى وضع معايير وعمليات فعالة لحوكمة تقنية 
المعلومات» مثل الفصل السابع من هذا الكتاب المتعلق معايير الأيزو الخاصة بالحوكمة, 
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أو الفصل الثاني عشر من هذا الكتاب أيضاً الخاص ببيان خدمات عمليات تشغيل تقنية 
ا معلومات. إذ يركز كل فصل من هذه الفصول على مجالات محددة لتحسين عمليات 
تشغيل تقنية المعلومات في المؤسسة. في جميع الأحوال» فإن البيان الفعال لمهمة أو رسالة 
المؤسسة. والذي يغطي كل جوانب عمليات التشغيل وجميع أصحاب المصلحة» ينبغي أن 
يكون عنصراً أساسياً في إرساء ممارسات فعالة لحوكمة تقنية المعلومات. 

تحتاج كل مؤسسة بغض النظر عن حجمها إلى بيان مهمة أو رسالة لوصف جميع 
أهدافها وقيمها. وينبغي أن تكون تلك الرسالة بمثابة مصدر للتوجيه - بوصلة - تسمح 
للموظفين والعملاء وا لمساهمين وغيرهم من أصحاب المصلحة معرفة ما تمثله المؤسسة وما 
لا تمثله. لقد كان بيان الرسالة في السنوات الماضية في كثير من الأحيان أكثر بقليل من مجرد 
شعار لطيف لكنه يبدو مُرهقاء أما اليوم فيجب أن يكون البيان الفعال لرسالة المؤسسة 
عنصراً مهماً جداً في أي برنامج لأخلاقيات الإدارة والحوكمة الرشيدة للشركات. قد يكون 
البيان الفعال للرسالة أحد الأصول العظيمة للمؤسسة والذي يسمح لها بتحقيق جميع 
أهدافها وأغراضها على نحو أفضل. 

على الرغم من مرور سنين طويلة على أزمة جونسون أند جونسون تايلينول «هقصطاه1 
Johnson Tylenol‏ & التي وقعت أوائل ثمانينيات القرن الماضيء فإنها لا تزال تقدم مثالاً 
جي دآ على أهمية البيان القوي ممهمة أو رسالة المؤسسة والذي يعمل كبوصلة لتقديم 
التوجيه المناسب. تعد شركة جونسون آند جونسونء واحدة من كبار موردي المنتجات 
الطبية. حيث قامت بتصنيع دواء شائع مسكن للأنم ويؤخذ بدون وصفة طبية يسمى 
تايلينول 19:16201. وقد كانت هذه الأدوية تباع وقتها في زجاجات تغلق من الأعلى 
بسدادة لولبية. وقد قام أحد الأشخاص القاطنين في منطقة شيكاغو بفتح عدة زجاجات 
من دواء تايلينول هذاء وقام بغش محتوياتها بإضافة مادة السيانيد إليهاء وقام بوضع هذه 
الزجاجات محل زجاجات أخرى على رفوف المتجر. وقد توفي العديد من الأشخاص الذين 
قاموا بشراء هذا التايلينول الملوث في وقت لاحق نتيجة تعرضهم للتسمم. وقد أشارت 
التحقيقات التي أجريت على هذه الحالات بسرعة إلى جونسون آند جونسون والتايلينول 
الملوث بالسيانيد. 
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هذا الأمر برمته قد وضع شركة جونسون آند جونسون تحت وطأة ضغوط هائلة. 
فقد كانت الشركة تعلم تماماً أنها تمتلك عمليات قوية چا خسولا وها افج الجودة 
التي من شأنها أن تمنع حدوث مثل هذا التلوث السام داخل مرافق التصنيع الخاصة بها. 
وعلمت أيضاً أن ا منتجات الملوثة قد ظهرت فقط في منطقة شيكاغوء في حين أن تايلينول 
كان موجوداً على رفوف المتاجر في جميع أنحاء العالم. إن عملية السحب الكلي للمنتج 
ستكون مكلفة للغاية. ومع ذلك فإن شركة جونسون آند جونسون م تقم بسلسلة طويلة 
من التحقيقات الداخلية وقد قامت بسرعة باتخاذ الإجراء الصحيح. وقامت بسحب كل 
منتجات تايلينول الخاصة بها من رفوف المتاجر في جميع أنحاء العام» وبعد ذلك قامت 
بإعادة إصدارها لهم في عبوات مختومة بتصميم جديد. وعندما سُئلت الشركة لماذا قامت 
بإصدار مثل هذا القرار بسرعة والخاص بسحب المنتج بالكامل رغم تكلفته العالية جداً 
ورغم عدم وجود دليل على أنها كانت على خطأء أفادت الشركة بأنه لم تكن هناك حاجة 
لتأخير القرار. إن توجه شركة جونس ون آند جونسون ورسالتها قد أملت عليها ذلك القرار. 
إن توجه جونسون آند جونسون ينص وبشدة على أن المسؤولية الأولى للشركة هي توفير 
منتجات عالية الجودة لعملائها. ويمكن العثور على نص هذا التوجه على موقع الويب 
الخاص بشركة جونسون آند جونسون وهي مبينة في الشكل التوضيحي .)١-۲١(‏ في وقت 
أزمة التايلينولء كان الجميع في شركة جونسون آند جونسون على علم بهذا التوجه. فقد تم 
نشر هذه التوجه على نطاق واسع في مرافق المؤسسة. وم يكن هناك حاجة وقتها لاتخاذ 
قرار بذلك. إن هذا الأمر المؤسف برمته قد أبرز بالفعل أهمية وجود بيان قوي للهمة أو 
زسالة المؤسسة. 

يعد البيان القوي لرسالة الشركة عنصراً هاماً في أي مبادرة من مبادرات الأخلاقيات 
وحوكمة الشركات. وعلى الرغم من أن معظم الشركات لن تواجه أزمة في مستوى أزمة 
شركة جونسون آند جونسون مع تايلينول الملوث التي حدثت في ثمانينيات القرن الماضي» 
فإن قواعد قوية من هذا النوع قد ساعدت بعض الشركات لتجنب الفضائح ال محاسبية في 
السنوات الأخيرة بصورة أفضلء تلك الفضائح التي أدت إلى ظهور قانون ساربينز أوكسلي 
(:50) كما وضحنا في الفصل الثاني من هذا الكتاب. 


دليل المستول التنفيذي لحوكمة تقنية المعلومات 040 


الفصل العشرون 


شكل توضيحي (۱-۲۰) 
توجه أو بيان مهمة جونسون آند جونسون 

توجهنا (كما نشرت في 2رمء.[2[) 

نحن نؤمن أن مسؤوليتنا الأولى هم الأطباء والممرضات والمرضى حتى الأمهات والآباء والجميع 
غيرهم ممن يستخدمون منتجاتنا وخدماتنا. وفي سبيل تلبية احتياجاتهم فإن كل شيء نقوم به يجب 
أن يكون ذا جودة عالية. ويجب أن نسعى جاهدين وبصفة مستمرة لخفض تكاليفنا من أجل الحفاظ 
على أسعار معقولة. إن طلبات العملاء يجب تلبيتها بسرعة وبدقةء ويجب أن يكون لدى موردينا 
وموزعينا فرصة لتحقيق ربح عادل. 

نحن مسؤولون عن موظفيناء الرجال والنساء الذين يعملون معنا في جميع أنحاء العالم. يجب 
أن يُنظر إلى كل فرد كإنسانء ويجب علينا احترام كرامتهم والاعتراف بفضلهم. يجب أن يكون لديهم 
شعور بالأمن في وظائفهم» والتعويض يجب أن يكون عادلا ومناسباء أجواء العمل نظيفةء ومنظمة 
وآمنة. يجب علينا أن نفكر في طرق لمساعدة موظفينا حتى يستطيعوا الوفاء بمسؤولياتهم الأسرية. 
يجب أن يشعر الموظفون أنهم أحرار في تقديم الاقتراحات والشكاوى. يجب أن يكون هناك تكافؤ 
فرص للعمل والتنمية والتقدم لأولئك المؤهلين. يجب أن نوفر الإدارة المختصة: ويجب أن تكون 
تصرفاتهم عادلة وأخلاقية. 

نحن مسؤولون عن المجتمعات التي نعيش ونعمل فيها والمجتمع الدولي أيضا. يجب أن نكون 
مواطنين صالحين - ندعم الأعمال الصالحة والجمعيات الخيرية ونتحمل نصيبنا العادل من الضرائب. 
يجب علينا أن نشجع التحسينات المدنية وتحسين الصحة والتعليم» ويجب أن ثُبقي على الممتلكات 
المصرح لنا باستخدامها في حالة جيدةء نحمي البيئة وال موارد الطبيعية. 


مسؤوليتنا النهائية تكون تجاه أصحاب المصلحة لدينا. العمل يجب أن يجني ربحاً سليماً. لا 
بد لنا من تجربة أفكار جديدة. يجب أن يتم إجراء البحوث بشأن ابتكار برامج متطورة ودفع تمن 
الأخطاء. يجب شراء المعدات الجديدة وإطلاق الوسائل الجديدة المتوفرة والمنتجات الجديدة. يجب 
إنشاء الاحتياطيات لتغطية أوقات العسر. عندما نعمل وفقاً لهذه المبادئ» ينبغي أن يحقق أصحاب 
المصلحة عائداً عادلاً. 





المصدر: جونسون آند جونسون. 


0۹1 دليل المستول التنفيذي لحوكمة تقنية المعلومات 


بناء ثقافة أخلاقية في محل العمل والحفاظ عليها 


يتعين على إدارة المؤسسة القيام بتقييم أي بيان ممكن أن يكون موجوداً اليوم لرسالة 
المؤسسة أو النظر في صياغته وإطلاق بيان آخر جديد إذا لزم الأمر. وإذا كان هناك موظفون 
أو غيرهم من أصحاب المصلحة ليسوا على علم بوجود أي بيان خاص بمهمة الشركة أو إذا 
كانوا ينظرون إليه بشيء من السخرية فإن هناك حاجة إلى إعادة النظر في تلك الوثيقة 
ومراجعتها. تجد غالباً أن الضرر الناتج عن بيان الرسالة السيء الصياغة يتجاوز نفعه. بل 
ويؤدي إلى ظهور أعضاء في المنظمة ممن يقاومون التغيير يعبرون عن سخريتهم وعدم 
سعادتهم حيال ذلك. إذا لم يكن لدى المؤسسة أي بيان للمهمة أو القيم» فقد يكون هناك 
قيمة كبيرة في تكوين فريق يقوم بوضع بيان يعكس القيم والمقاصد العامة للمؤسسة. إذا 
تعرض البيان الحالي المهمة المؤسسة إلى التهكم أو السخرية من خلال استبيانات استقصاء 
آراء أصحاب المصالح» إذاً فقد حان الوقت لصياغة وتنقيح هذا البيان بعناية. من ناحية 
أخرىء إذا تم تعميمه دون أي تحضيرات» فمن الممكن أن يُنظر إليه بالمزيد من التهكم. 
يعد البنان'الحيذ تلهمة اللؤسسة أيضا عندابة نقظة انظلاق جيدة لرمالة"النعمة السناتدة* 
لشركات اليوم» كما سبق مناقشته في الفصل الثاني من هذا الكتاب. 

إن البيان الجيد لمهمة المؤسسة يجب أن يؤدي إلى تقارير إيجابية عن الشركة. كما 
ينبغي أن يلهم وبكل أمل أعضاء المنظمة لتسخير طاقاتهم وحماسهم وزيادة التزامهم 
لتحقيق الأهداف والغايات. إن الفكرة الأساسية هي إيجاد الشعور بالهدف والاتجاه الذي 
سوف تتم مشاركته في جميع أنحاء المؤسسة. وبالعودة مرة أخرى بالزمن قبل عدة سنوات» 
فقد يكون أحد أفضل الأمثلة على بيان المهمة هو ما عبر عنه الرئيس الأمريكي جون ف. 
كينيدي 162260 .1 ۸ه[ في أوائل ستينيات القرن الماضي: 

"يتوجب على هذه الآمة أن تفرغ غماماً لفحقيق الهدفء قبل انقضاء هذا العقده بوط 

الإنسان على القمر وعودته إلى الأرض ساطا". 

فقد قامت تلك الكلمات البسيطة بوصف المهمة والرؤية أفضل بكثير من وثيقة ضخمة 
تحتوي على العديد من الصفحات. وهي تسمى أحياناً بيانات القيم أو العقائد (التوجهات)» 
ويمكن أيضاً العثور على تلك البيانات في التقارير السنوية للعديد من المؤسسات. بعضها 
طويلء والبعض الآخر يبدو قصيراً بدرجة ملحوظة. فالبيان الأفضل هو ذلك الذي يُكتب 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات o۹۷‏ 


الفصل العشرون 


بأسلوب قريب من صياغة التوجه الخاص بجونسون آند جونسون أو بيان الهبوط على 
سطح القمر وفق أسلوب صياغتهم. 

بمجرد أن تقوم المؤسسة بوضع بيان جديد للمهمة أو الرسالة أو تقوم بتنقيح بيان 
مهمة موجود» فإنه يجب تعميمه على كل أعضاء ا لمؤسسة مع مستوى جيد من الدعاية. 
ومن خلال استخدام نهج النغمة السائدة: فإنه يتعين على كبار المديرين شرح أسباب 
البيان الجديد للمهمة ومدى أهميته بالنسبة للمؤسسة. ويجب نشره في لوحات إعلانات 
المؤسسة وفي التقرير السنوي وفي غيرها من الأماكن لتشجيع جميع أصحاب المصلحة على 
فهمه وقبوله. يجب ألا يعمل بيان المهمة بشكل منفصلء فهناك حاجة إلى سلسلة من 
الخطوات الأساسية الأغرى لبناء إذارة فعالة للامتغال والأخلاقيات. بدءا من الدراسات 
الاستقصائية وغيرها من الآليات. 


مدونة قواعد السلوك للمؤسسة: 

في الوقت الذي يُعد فيه البيان القوي والفعال لمهمة الشركة عنصراً أساسياً في الهيكل العام 
لحوكمة الشركات» تعمل مدونة قواعد السلوك على توفير قواعد الدعم اللازمة لأصحاب 
المصلحة في المؤسسة. لقد كانت هذه القواعد شائعة في الشركات الكبرى لسنوات عديدة 
ويطالب قانون <50 اليوم الشركات بوضع مدونة أخلاقيات لكبار المسؤولين الماليين. وها 
أنه قد تم فرض هذه المدونة من قبل قانون ×50 فبإمكان جميع الشركات أن تستفيد من 
مدونة قواعد السلوك التي تشمل جميع أصحاب المصلحة. وعلى الرغم من أن قانون ×80 
يستخدم تعبير "مدونة أخلاقيات المهنة"؛ فإننا نشير إليها هنا باسمها الذي قد يكون أكثر 
شيوعا وهو مدونة قواعد السلوك المهني للمؤسسة. 

يجب على المؤسسة اليوم أن تضع وتطبق مدونة لقواعد السلوك المهني تشمل مجموعة 
مناسبة من القواعد الأخلاقية وقواعد العمل والقواعد القانونية لجميع أصحاب المصالح 
في المؤسسة: متضمنا ذلك الإدارة العليا وجميع العاملين والمشرفين وأكبر فئة من أصحاب 
المصلحة بها. يجب أن تقوم الإدارة العليا للمؤسسة بتكوين فريق مكون من أعضاء 
العمليات التشغيلية للوحدات والمديرين الماليين وممثلين عن الرقابة الداخلية وضمان 
الجودة واتصالات الشركة والموارد البشرية وبالتأكيد الإدارة القانونية للشركة» وذلك لبناء أو 
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بناء ثقافة أخلاقية في محل العمل والحفاظ عليها 


إعادة بناء مدونة فعالة لقواعد السلوك المهني والتي تشجع الممارسات الأخلاقية للأعمال 
في جميع أنحاء اممؤسسة. 


المحتويات: ماذا يجب أن تكون رسالة المدونة؟ 

ينبغي أن تكون مدونة قواعد السلوك عبارة عن مجموعة من القواعد أو التوجيهات 
الواضحة التي لا لبس فيها ولا غموض والتي تحدد ما هو متوقع من أعضاء المؤسسةء 
سواء كان المتوقع من المسؤولين أم من الموظفين أو المقاولين أو البائعين أو أي من 
أصحاب المصالح الآخرين. وينبغي أن تستند المدونة إلى القيم والقضايا القانونية المحيطة 
بالمؤسسة. بمعنى أنه على الرغم من أن جميع المؤسسات يفترض تبنيها ممدونة قواعد 
السلوك المهني ا فيها محظورات ضد التمييز الجنسي والعنصريء فإننا نجد أن مقاول 
الدفاع'' الذي يكون لديه العديد من القضايا المرتبطة بالقواعد المتعلقة بالتعاقدات 
سيحتفظ لديه بمدونة قواعد سلوك مهني مختلفة نوعاً ما عن تلك الخاصة بعملية تقديم 
الوجبات السريعة. ومع ذلك» يجب تطبيق أي مدونة بهذا الشكل على جميع أعضاء 
المؤسسة من أعلى مستوى وحتى موظف الأعمال الكتابية الذي يعمل بدوام جزئي. فعلى 
سبيل ام مثال» فإن مدونة قواعد السلوك التي تمنع رفع تقارير مالية خاطئة يلزم أن تكون 
هي المدونة نفسهاء سواء تم توجيهها إلى ا مدير المالي فيما يخص التقارير المالية الخاطئة 
أم إلى الموظف الذي يعمل بدوام جزني فيما يخص بطاقة الدوام الأسبوعي غير الصحيحة 
أو الاحتيالية. 


إذا كانت المؤسسة لديها بالفعل مدونة لقواعد السلوك فإنه ينبغي على إدارة المؤسسة 
النظر في تنقيحها أو تحديثها بحسب الحاجة. في كثير من الأحيان» نجد أنه تم وضع 
المدونات القديمة لتكون بالأساس قواعد لموظفي المستوى الأدنى» مع القليل من الاهتمام 


(*) يسمى 0 المقاول الأمني )security contractor)‏ وهي منظمة تجارية أو فرد يقدم منتجات أو 
خدمات لإدارة عسكرية أو استخباراتية تابعة للحكومة. وتشمل المنتجات عادة الطائرات العسكرية 
أو المدنيةء والسفن. والمركبات» والأسلحة. والأنظمة الإلكترونية. ويمكن أن تشمل الخدمات 
اللوجستية والدعم التقني والتدريب ودعم الاتصالات والدعم الهندسي بالتعاون مع الحكومة. 
(المترجم). 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات 0۹4 





الفصل العشرون 


الموجه للعديد من كبار أعضاء المؤسسة. إن المدونة الفعالة لقواعد السلوك المهني ينبغي 
توصيلها بطريقة من شأنها أن تُطبَّق على جميع أصحاب المصلحة في المؤسسة, مع تركيز 
أكثر اليوم على كبار مسئولي المؤسسة. فبالتعاون مع كبار الموظفين في الإدارة ولجنة 
التدقيق» يجب على الفريق الإداري المحدد أن يقوم بفحص أي مدونة موجودة للسلوك 
المهني ليحدد ما إذا كانت قواعدها وإرشاداتها لا تزال صالحة لحوكمة الشركات في عصر 
قانون «50. سواء بالنسبة لعملية تنقيح المدونة الموجودة حالياً لقواعد السلوك المهني 
أو بالنسبة لتطوير مدونة جديدة فإنه لا بد من تشكيل فريق مكون من شريحة إدارية 
منتقاة للقيام بهذه المهمة. بحيث يتعين على الفريق دراسة قضايا الأعمال التي تواجه 
المؤسسة ومن ثم القيام بصياغة مجموعة من قواعد المدونة القابلة للتطبيق على هذه 
المؤسسة اعتماداً على أعمالهم والقضايا ذات الصلة. ويجب أن تكون قواعد المدونة مكتوبة 
بطريقة واضحة بحيث يمكن فهم مثل هذه النقاط بسهولة من قبل الجميع. الشكل 
التوضيحي (١7-؟)‏ يعرض أحد الأمثلة على موضوعات مدونة قواعد السلوك المهني. وعلى 
الرغم من أن هذه القائمة لا تنطبق على الجميع» فإن هذه الموضوعات تناسب العديد من 
المؤسسات الحديثة اليوم. فالنقطة الجوهرية هنا هي أن الرسائل المقدمة في المدونة يجب 
أن تكون واضحة ولا لبس فيها. وقد شارك مؤلف هذا الكتاب بشكل كبير في صياغة مدونة 
قواعد السلوك لإحدى الشركات الأمريكية الكبرى منذ عدة سنوات. 


1۰ دليل المسئول التنفيذي لحوكمة تقنية ا معلومات 


بناء ثقافة أخلاقية في محل العمل والحفاظ عليها 


شكل توضيحي (١7-؟)‏ 
مثال لموضوعات مدونة قواعد السلوك 

فيما ياي الموضوعات ال موجودة في مدونة قواعد سلوك نموذجية لإحدى المؤسسات 
الأول: مقدمة: 

أ. الغرض من هذه المدونة لقواعد السلوك المهني: بيان عام حول خلفية هذه المدونة لقواعد 
السلوك. 

ب. التزامنا بالمعايير الأخلاقية القوية: إعادة ذكر بيان المهمة أو الرسالة إلى جانب الخطاب 
المطبوع من الرئيس التنفيذي. 

ج. أين تلتمس التوجيه أو الإرشاد: وصف لعملية الخط الساخن لأخلاقيات العمل في المؤسسة. 

د. الإبلاغ عن عدم الامتثال: إرشادات للمبلغين -كيف تبلغ. 

ه. مسؤوليتك عن الإقرار بالمدونة: وصف لعملية الإقرار بالمدونة. 


الثاني: التعامل العادل: 
أ. ممارسة البيع لدينا: إرشادات للتعامل مع العملاء. 


ب. ممارسات الشراء لدينا: إرشادات وسياسات للتعامل مع البائعين. 
الثالث: السلوك في مكان العمل 

أ. معايير تكافؤ فرص العمل: بيان التزام قوي. 

ب. مكان العمل والتحرش الجنسي: بيان التزام قوي بالقدر نفسه. 

ج. تعاطي ال مواد ا مخدرة وإساءة استخدام العقاقير: بيان السياسة العامة في هذا ا مجال. 
الرابع: تضارب المصالح: 

أ. التوظيف الخارجي: فرض قيود على قبول طلبات التوظيف من المنافسين. 

ب. الاستثمارات الشخصية: القواعد المتعلقة باستخدام بيانات الشركة لاتخاذ قرارات تخص 
الاستثمار الشخصي. 

ج. الهدايا والفوائد الأخرى: القواعد المتعلقة بتلقي الرشاوى وتلقي هدايا في غير محلها. 

د. الموظفون السابقون: قوانين تحظر منح امتيازات للموظفين السابقين في مجال الأعمال. 

ه. أفراد العائلة: قوانين حول إسناد أعمال لأفراد الأسرة. يخلق تضارباً في ا مصالح. 
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الخامس: ممتلكات وسجلات الشركة: 

أ. أصول الشركة: بيان قوي حول مسؤولية الموظف عن حماية الأصول. 

ب. موارد نظم الحاسب الآلي: التوسع في بيان أصول الشركة ليعكس جميع الجوانب المتعلقة 
بموارد نظم الحاسب الآلي. 

ج. استخدام اسم الشركة: هناك قاعدةء أن اسم الشركة يجب أن يتم استخدامه في التعاملات 
التجارية أو تعاملات الأعمال العادية فقط. 

د. سجلات الشركة: هناك قاعدة فيما يتعلق بمسؤولية الموظف عن سلامة السجلات. 

ه. ال معلومات السرية: قواعد حول أهمية الحفاظ على جميع معلومات الشركة السرية وعدم 
الكشف عنها لأطراف خارجية. 

و. خصوصية الموظف: بيان قوي حول أهمية الحفاظ على المعلومات الشخصية السرية للموظف 
وعدم الكشف عنها لأطراف خارجية وحتى للموظفين الآخرين. 


ز. منافع الشركة: يجب على الموظفين ألا يأخذوا من منافع الشركة ما لا يحق لهم. 


السادس: الامتثال للقانون: 

أ. المعلومات الداخلية والتجارة الداخلية: هناك قاعدة قوية لحظر الأعمال التجارية داخل الشركة 
أو الاستفادة من المعلومات الداخلية. 

ب. المشاركات والأنشطة السياسية: هناك بيان قوي حول قواعد النشاط السياسي. 

ج. الرشوة والعمولات الخفية: هناك قاعدة صارمة بشأن قبول رشاوي أو عمولات غير مشروعة. 

د. التعاملات التجارية الخارجية: القواعد المتعلقة بالتعامل مع وكلاء أجانب ها يتماشي مع قانون 
ممارسات الفساد الأجنبية. 

ه. السلامة في أماكن العمل: بيان حول سياسة الشركة لتتوافق مع قواعد“ 05114 . 

و. سلامة المنتج: بيان عن التزام الشركة بسلامة المنتجات. 

ز. الحماية البيئية: هناك قاعدة فيما يتعلق بالتزام الشركة لتتوافق مع القوانين البيئية المعمول بها. 





(*) تمثل كلمة 05114 الحروف الأولى من كلمة Occupational Safety & Health Administration‏ 
وهي إدارة السلامة والصحة المهنية الأمريكيةء وتعد ا منظمة أو المؤسسة الأكبر على مستوى العام فى مجال 
السلامة والصحة المهنية فهي تختص بوضع معايير الحفاظ على السلامة والصحة المهنية للعاملين فى جميع 
ا مجالات» وتهدف إلى ضمان بيئة عمل آمنة وصحية لكل العاملين كما تسهم بفاعلية ف الحفاظ على الموارد 
البشرية ومن ثم رفع مستوى الجودة فى المؤسسات. (المترجم). 
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والمثال التالي مقتطف من تلك المدونة لقواعد السلوك الخاصة بقسم أصول الشركة: 
إننا جميعاً نتحمل مسؤولية رعاية جميع أصول الشركة متضمناً ذلك المخزون والنقدية والموارد 
والمرافق وخدمات الموظفين الآخرين وموارد نظم الحاسب الآلي. فإذا كنت ترى أو تشتبه في أن 
موظفا آخر يسرق أو يشارك في أنشطة احتيالية أو غير ذلك مما لا يحمي أصول الشركة كما ينبغي» 
فرها عليك الإبلاغ عن هذه الأنشطة إلى مديرك أو إلى مكتب أخلاقيات العمل. 
تعد هذه الكلمات مثالاً جيداً على نبرة وأسلوب المدونة الجيدة لقواعد السلوك. ويضع 
المسؤولية على من يتلقى المدونة ويحاول شرح القضايا بطريقة لا لبس فيهاء ويقترح 
الاستجابات للأفعال المتوقعة. 
بالإضافة إلى موضوعات وقواعد المدونة» فإن العديد من الشركات قد وجدت قيمة في 
إضافة مجموعة من الأسئلة والأجوبة لترافق النقاط الموجودة في المدونة» الأمر الذي يسمح 
لقارئ المدونة أن يفهم القضايا على نحو أفضلء وكذلك أنواع الأسئلة التي رها كثير من 
الموظفين البسطاء قد يسألون عنها فيما يخص قاعدة المدونة. إن مفتاح الوصول لمجموعة 
واضحة من قواعد السلوك المهني هو أنها يجب أن تكون واضحة ومفهومة بالنسبة للجميع. 
وقد يُشكل ذلك تحدياً فعلياً للتعديل بالنسبة لفريق مدونة قواعد السلوك. 
إننا م نقم بإدراج عينة من مدونات قواعد السلوك في هذا الكتاب» وذلك نظراً لاختلاف 
مدونات قواعد السلوك المهني لدى كل مؤسسة تقريباً من حيث الأسلوب والشكل والحجم. 
فبعض الشركات تنشر وثائق مفصلة إلى حد ماء في حين أن البعض الآخر يحتوي على 
الأساسيات فقط. ومن المؤكد أن مدونات السلوك المهني بطبيعتها ليست أسراراً تجارية 
للشركة. وتسفر الدعوات الموجهة إلى مكتب الاستعلامات أو العلاقات العامة بالشركة عن 
القيام بتجميع نسخ من عينات مدونة قواعد السلوك المهني لديهم. 
إن الشركات العاممية لديها مشكلة أخرى عند قيامها بوضع مدونة لقواعد السلوك. فعلى 
الرغم من أن الشركة قد يكون مقرها في الولايات المتحدة. فإن عملياتها التشغيلية الرئيسية 
قد تكون منتشرة في جميع أنحاء العالم في مكان وجود المديرين الرئيسيين والموظفين 
وأصحاب المصلحة الآخرين من الذين لا يستخدمون اللغة الإنجليزية لغة أساسية لهم. 
وعلى الرغم من أن التكاليف الإضافية تتمثل في الترجمة» فإنه لابد من التفكير في إنتاج 
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نسخ من مدونة قواعد السلوك على الأقل باللغات الرئيسية المستخدمة في عمليات الشركة. 
وإذا كان هناك العديد من المواقع ولكن بها أعداد قليلة من أصحاب المصالح الناطقين 
بلغة أجنبيةء فإنه سيكون من المناسب وضع ملخص لمدونة قواعد السلوك الأساسية بكل 
لغة من اللغات المحلية. ومع ذلكء ينبغي أن تؤكد تلك الإصدارات المختصرة التوجيهات 
نفسها للاحتيال ا مالي الخاص بالبنية الموجهة نحو الخدمة (504) الواردة في مدونة قواعد 
السلوك الأساسية. 


تبليغ أصحاب المصلحة بمدونة قواعد السلوك لضمان الامتثال بها: 

يجب أن تكون مدونة قواعد السلوك للمؤسسة عبارة عن وثيقة حية. وستكون قيمتها 
قليلة إذا ما تم وضعها وتوصيلها إلى جميع أصحاب المصلحة بكثير من الضجة؛ ثم بعد 
ذلك تحفظ في مكان بعيد وتّنسى. سواء بالنسبة لمدونة جديدة لقواعد السلوك أو لمدونة 
موجودة تم تنقيحها بإضافة مزيد من التعديلات عليهاء فإنه يجب على المؤسسة بذل المزيد 
من الجهد لتوصيل نسخة من هذه المدونة لجميع العاملين وأصحاب المصلحة. وتعد هذه 
خطوة أولى جيدة سيكون من شأنها تقديم تلك النسخة الجديدة أو المنقحة من مدونة 
قواعد السلوك بشكل رسمي لكبار المسؤولين التنفيذيين في ا مؤسسة وخصوصاً المسؤولين 
الماليين. كانت مدونات القواعد السلوكية في الماضي تلقى أحيانا قبِولاً رمزيا فقط من 
مجموعة المسؤولين الكبارء مع شعورهم بأن تلك المدونات قد صُممت في الواقع للموظفين 
وليست لهم. إلا أن الفضائح المالية التي تم الإبلاغ عنها والتي أدت إلى سن قانون ×80 
في السنوات الأولى من هذا القرن قد أبرزت في الواقع هذا التناقض. فكل من شركة إنرون 
Enron‏ وشرکة ورلد كوم WorldCom‏ ^ وهما الشركتان اللتان يتم الاستشهاد بهما كثيراً 
ك "أفراد السوء" في عصر ما قبل سن قانون ×50 قد كانت لديهم مدونات كافية لقواعد 
السلوك. ومع ذلك» فإن مسئولي الشركات لديهم بدوا كأنهم شعروا بأن تلك القواعد لا 
يمكن أن تطبق عليهم. 

وکن اعتبار المدير المالي السابق لشركة إنرون (08ته8). أندرو فاستو (0165صم 
«(Fastow‏ وعدا من الأمثلة المثيرة للقلق على عدم قبول كبار المسؤولين في الشركة لمدونة 
القواعد السلوكية. ولأنه كان على علم بأنه سيخالف مدونة قواعد السلوك بالشركة باتباعه 
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بعض المخططات المحاسبية المشكوك فيها غير المدرجة في الميزانية العموميةء فقد لجأ إلى 
لجنة التدقيق الخاصة بشركة إنرون وطلب منهم التصويت رسمياً على إعفائه من مدونة 
قواعد السلوك! وقد قامت اللجنة منحه هذا الإعفاءء وكانت خطوة أخرى على طريق 
الفشل الذي سارت فيه شركة أنرون ووصلت إليه في نهاية المطاف. 

يجب على كبار مديري المؤسسة أن يُقروا رسمياً بأنهم قاموا بقراءة وفهم مدونة قواعد 
السلوك وبأنهم سيلتزمون بها. وبمساعدة الفريق الإداري الذي يقف خلف تلك المدونة, 
فإنه ينبغي على المؤسسة أن تقوم لاحقا بتعميم مدونة قواعد السلوك وإيصالها إلى جميع 
أصحاب المصلحة في المؤسسة. وقد يتم ذلك على عدة مراحل» وذلك عن طريق إيصالها 
اوا إلى المرافق المحلية أو الرئيسية» تليها الوحدات الأصغرء وا مواقع الأجنبيةء وغيرهم من 
أصحاب المصلحة. وبدلا من أن تحتفظ المؤسسة بنسخة من مدونة القواعد السلوكية مع 
مستندات المرتبات» فإنه يجب عليها بذل الجهود لكي تعرض تلك المدونة بطريقة تجذب 
الأنظار نحوها. 

يمكن إيصال المدونة الجديدة ونشرها من خلال وسائل مثل المؤتهرات الإلكترونية 
(23أطا1816) التي يقودها الرئيس التنفيذي أو الجلسات التدريبية أو وسائل أخرى لتوصيل 
أهميتها ومعناها. هذا بالإضافة إلى أساليب الاتصالات الخاصة التي يمكن استخدامها 
لإيصال المدونة لجماعات أخرى كالباعة أو المقاولينء ولكن ينبغي أن يكون هدف الشركة 
هو الحصول على اعتراف رسمي من كل أصحاب المصلحة بأنهم سوف يلتزمون بمدونة قواعد 
السلوك الخاصة با مؤسسة. ويمكن تحقيق هذا عن طريق أحد نظم الإنترنت أو النظم 
الهاتفية حيث يُطلب من كل أصحاب المصلحة في المؤسسة الرد على هذه الأسئلة الثلاثة: 
-١‏ هل تلقيت وقرأت نسخة من مدونة قواعد السلوك؟ أجب بنعم أو لا. 
۲- هل فهمت مضمون مدونة قواعد السلوك؟ الإجابة بنعم إذا فهمت هذه المدونة 

لقواعد السلوك أو الإجابة بلا إذا كان لديك أسئلة. 
-٠‏ هل توافق على الالتزام بالسياسات والمبادئ التوجيهية الموجودة في هذه المدونة لقواعد 

السلوك؟ الإجابة نعم إذا كنت توافق على الالتزام ما جاء في المدونة» والإجابة بلا إذا 

كنت لا توافق. 
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إن الفكرة بأكملها هي أن يُطلب من كل فرد سواء كان موظفاً أم صاحب مصلحة أن 
يقر بقبول مدونة قواعد السلوك الخاصة بالمؤسسة. يجب أن تُسجل تلك الردود باستخدام 
إحدى أشكال قواعد البيانات الحاسوبية بحيث يُدرج فيها اسم الموظف وتاريخ مراجعته 
والقبول أو عدم القبول. يمكن التعامل مع أي قضية من القضايا الناشئة عن السؤال الثاني 
من خلال برنامج المبلغين عن المخالفات الذي سيتم وصفه لاحقاً. والفكرة هي أنه يتعين 
على الجميع - كل أصحاب المصلحة - أن يسهموا في مبدأ مدونة قواعد السلوك والموافقة 
على شروطها. وإذا رفض أحد الأشخاص قبول المدونة لأسباب محددة. فإنه يتعين على 
ا مشرفين أو غيرهم مناقشة هذه المسألة مع هذا الشخص للوصول في نهاية المطاف إلى 
اتفاق. إن الموقف النهاني هنا هو أن المؤسسة يجب أن تتوقع أن كل الموظفين متفقون 
على قبول مدونة قواعد السلوك للمؤسسة والالتزام بها. إن اتباع مدونة قواعد السلوك ما 
هو إلا واحد من قوانين العملء وأن الامتناع أو التخلف المستمر عن الالتزام بهذه القواعد 

ينبغي أن يكون سبباً للإيقاف عن العمل وإنهائه. 

إن الفكرة بأكملها والتي تكمن وراء شرط الحصول على الاعتراف بهذه المدونة هي 
تجنب أي غذر مستقبلاً من نوع "لم أكن أعرف أن ذلك كان قاعدةً' " وذلك عندما وه 
بأن هناك انتهاك للمدونة. إنها لفكرة جيدة أن يتم تطبيق هذه العملية الخاصة بقبول 
المدونة بصفة سنوية أو على الأقل بعد أي تنقيح لوثيقة المدونة. كما ينبغي الاحتفاظ 
بملفات توثيق هذه الإقرارات بالمدونة بطريقة آمنة. 


انتهاكات المدونة والإجراءات التصحيحية: 

تلخص المدونة السلوكية مجموعة من القواعد للسلوكيات المتوقعة في ا مؤسسة والتي 
تكون على شكل إرشادات وتوجيهات موجهة لجميع أصحاب المصلحة - المسؤولين الماليين 
وغيرهم كال موظفين في جميع المستويات وامقاولين والبائعين. فبالإضافة إلى عملية نشر 
مدوتة كوافن البتلوة الغاضة اس واللفصول غل قبول :كان اة ا 
فإن هناك حاجة إلى وجود آلية للإبلاغ عن انتهاكات المدونة للتحقيق والتعامل مع تلك 
الانتهاكات. 
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إن الهدف المنتشوة: هو أنه إذا كانت المؤسسة تصدر مدونة قوية لقواغد السلوك إلى 
جانب رسالة الرئيس التنفيذي عن أهمية الممارسات الأخلاقية الحميدة, فإنه من المتوقع أن 
يقوم جميع أصحاب المصلحة باتباع هذه القواعد. ومع ذلك. فإتنا جميعاً نعلم أن البشر 
هم البشرء وسيكون هناك دائماً بعض الذين ينتهكون القواعد أو يحومون حول انتهاكها. 
لذلك تحتاج المؤسسة إلى إنشاء آلية تسمح لموظفي الشركة أو حتى من خارج الشركة 
(الغرباء) بالإبلاغ عن الانتهاكات المحتملة للمدونة بطريقة آمنة وسرية. يمكن التعامل مع 
الكثير من آليات الإبلاغ من خلال الخط الساخن للأخلاقيات أو المبلغين عن المخالفات كما 
سيتم مناقشته في القسم التالي. هناك انتهاكات أخرى محتملة يجب معالجتها على مستوى 
مختلف. فلنفترض أن هناك أحد المشرفين الرجال يُلمّح بأن تقديم خدمات غير شرعية من 
قبل إحدى الموظفات سيكون وسيلة جيدة للتقدم في المؤسسة. فإن مدونة قواعد السلوك 
ا يخص حظر التحرش الجنسي لن تقوم بالضرورة بإيقاف هذا المشرفء كما أن الموظفة 
لن تستطيع في كثير من الأحيان إبلاغ المدير المباشر لهذا المشرف عن هذا الانتهاك. لذا 
ينبغي وضع عملية لرفع بلاغات بجميع أنواع الانتهاكات الأخلاقية. 

لا بد من دعم مدونة قواعد السلوك في المؤسسة بالإجراءات والردود المخطط لها 
والموثقة عن الانتهاكات. فعندما يتم الإبلاغ أو العثور على مخالفات أو انتهاكات كبيرة 
للمدونة. فلا بد من إجراء التحقيقات» واتخاذ الإجراءات المناسبة» بغض النظر عن مرتبة 
ومكانة أصحاب المصلحة في المؤسسة المسؤولين عن تلك الانتهاكات. فإذا كانت مدونة 
قواعد السلوك تمنع عملية نسخ البرمجيات - وهو ما يجب أن يكون - فإن العقوبات 
الموقعة على أحد العاملين في الطاقم التحليلي لإحدى مكاتب المبيعات البعيدة يجب أن 
تكون هي العقوبات نفسها التي تقع على أحد كبار المسؤولين العاملين في مجلس إدارة 
الشركة. في حال كان الاثنان قد قرأا الحظر ووافقا عليه. فإنه يجب أن تكون العقوبات 
الواقعة عليهما متماثلة. خلاف ذلك» قد يؤدي إلى خلق جو يبدو فيه أن هذه القواعد لا 
تطبق على الجميع بالوتيرة نفسها. 

يمكن التعامل مع معظم الانتهاكات لمدونة قواعد سلوك من خلال الإجراءات العادية 
للموارد البشرية في المؤسسة والتي رها تلجأ إلى عملية تقديم النصيحة أو البقاء تحت 
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المراقبة بالنسبة للانتهاك الأول للمدونة» والتي قد تؤدي إلى إنهاء الخدمة في حال تكرارها. 
كما يجب إبلاغ السلطات الخارجية عن الانتهاكات التي تتعلق بأمور يبدو كأنها دعاوى 
مدنية أو جرائم محتملةء ليخرج الأمر بذلك عن سلطة المؤسسة. إن الهدف العام هو أنه 
يجب أن يكون لدى ال مؤسسة عملية معمول بها لتشجيع جميع أصحاب المصلحة على اتباع 
الممارسات الأخلاقية الحميدة. كما هو محدد في مدونة قواعد السلوك, كما يجب توفير آلية 
ملائمة للتبليغ عن الانتهاكات واتخاذ الإجراءات والتدابير النظامية المناسبة إذا تطلب الأمر. 


الحفاظ على سريان المدونة: 

ود ادنك من القواعن الأ اة الما كات الأغلاقة الجيدة وأيضًا للمؤسيية: زا 
تتغير من سنة إلى أخرى. فالقاعدة الموضحة في المثال في (الشكل التوضيحي ۲-۲۰) عن 
حماية أصول الشركة التي تم الاستشهاد بها قبل قليلء قد نصت على أن جميع أصحاب 
المصلحة يتحملون مسؤولية العناية والاهتمام بأصول المؤسسة التابعين لهاء سواء كانت 
ممتلكات أم نقدية أو موارد حاسوبية أو غيرها. وهذا النوع من القواعد الأخلاقية لا يتغير 
مع مرور الوقت» في حين قد يتعرض غيرها من القواعد إلى التغيير نتيجة ظروف العمل 
وعوامل أخرى. وقد قام مؤلف هذا الكتاب بتولي إدارة التدقيق الداخلي لإحدى الشركات 
الكبيرة للبيع بالتجزئة - سنطلق عليها اسم الشركة أ - التي كانت تمتلك في الأساس مدونة 
لقواعد السلوك تمنع الموظفين من العمل لدى الجهات المنافسة. وقد كان ذلك مناسباً 
عندما كان يعمل بائع في أحد مراكز التسوق لصالح الشركة (أ) بدوام كامل. وفي عصرنا 
الحالي الذي يتميز بأن هناك الكثير من العمل يكون بدوام جزنئيء فإنه من غير المناسب أن 
أقول لبائع يعمل في أحد مراكز التسوق بدوام جزثي إنه أو إنها لن تتمكن من العمل بدوام 
جزني لمتجر تجزئة آخرء ولنطلق عليها اسم الشركة (ب)» موجودة في مركز التسوق نفسه. 
لذا فقد تم هنا تغيير مدونة قواعد السلوك لتنص على أنه يجب أن يكون ولاء الموظف 
للشركة (أ) وليس للشركة (ب) فقط أثناء عمله في الشركة (أ). 


يتعين على المؤسسات أن تقوم وبشكل دوري بمراجعة مدوناتها المنشورة للقواعد 
السلوكية. وأن يكون ذلك كل سنتين على الأقل للتأكد من أن الإرشادات لا تزال قابلة 
للتطبيق وسارية. إن التغييرات التي تتم على مدونة قواعد السلوك ينبغي ألا تعامل 
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باستخفاف. فإن أي تنقيح ينبغي أن يمر من خلال عملية الإعلان والتعميم نفسها التي 
تم استخدامها عند تقديم المدونات للمرة الأولى. ينبغي إيصال المدونة ال منقحة لجميع 
أصحاب المصلحة إلى جانب شرح التغييرات مع المطالبة بقبول إعادة الإقرارء كما أسلفنا. 


إن الموظفين الجدد وغيرهم من أصحاب المصلحة الملتحقين با مؤسسة» يجب أن تُعرض 
عليهم مدونة قواعد السلوك الحالية» بالشرط نفسه وهو أن يقرؤوا ويقروا ها جاء بالوثيقة. 
ويمكن مشاهدة الفيديو المنشور على الإنترنت لشرح وتعليم الموظفين الجدد كل ما يتعلق 
بمدونة قواعد السلوك والتزام ا مؤسسة بها. وسواء تم تعديل المدونة أم لا فإنه ينبغي أيضاً 
أن يُطلب من جميع أصحاب المصلحةء بصفة دورية» أن يُقروا من جديد بأنهم قد قرؤوا 
وسيواصلون الالتزام بالمدونة. : 

إن التعديل الجديد لمدونة قواعد السلوك والمطالبة بإعادة إقرار أصحاب المصلحة يمكن 
أن تكون مهمة مكلفة وتتطلب موارد مخصصة من المؤسسة من إدارة الأخلاقيات والموارد 
البشرية والتدقيق الداخليء وغيرها. وتمشياً مع بيان المهمة أو الرسالة فإنه يجب على 
ا أن قي مدونة قواعد السلوك والمبادئ الداعمة لها أمام جميع أصحاب المصلحة 
في جميع الأوقات. ويمكن تحقيق ذلك من خلال إشارات مستمرة ة لمدونة قواعد السلوك 
مثل ملصقات لوحة الإعلانات في جميع المرافق أو أسئلة وأجوبة توجيهية في مطبوعات أو 
عروض تقدهية في دورات تدريبية للموظفين. 


المبلغون عن المخالفات وإدارات الخط الساخن: 

تعد عملية الإبلاغ عن المخالفات من العناصر الهامة في حوكمة الشركات. وامْبلغ عن 
المخالفات هو الشخص الذي يخبر الرأي العام أو شخصاً ما في السلطة عن أنشطة مزعومة 
غير شريفة أو غير قانونية تحدث في إحدى الدوائر الحكومية أو مؤسسة خاصة أو 0 
قد يكون سوء السلوك المقصود هنا عبارة عن انتهاك لأحد القوانين أو القواعد أو اللوائح 
تهديداً مباشراً للمصلحة العامة, مثل الاحتيال أو الانتهاكات المتعلقة بالصحة والسلامة 7 
الفساد. قد يدلي المبلغون عن المخالفات بدعاويهم داخلاً لجهات التحقيق داخل المؤسسة. 
أو خارجياً لجات رقابية أو جهاث إنفاذ القاثون أو لوسائل الإعلام أو المجموعاث المعنية 
نهذة قان 
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لقد كانت برامج المبلغين عن المخالفات لعدة سنوات تدور حول دعم قوانين التعاقد 
الاتحادية ولوائح الصحة والسلامةء وغيرها. كما هو مبين في الفصل الثاني من هذا الكتاب» 
فإن قانون 50 يقضي بأن تقوم لجان التدقيق للمؤسسة بوضع إجراءات من أجل "التعامل 
مع معلومات المبلغ عن المخالفات فيما يتعلق بمسائل المحاسبة أو التدقيق المشكوك فيها." 
وعندما تم تفعيل قانون ×80 للمرة الأولى» كان هناك الكثير من التكهنات بأن هذا البند 
الخاص بالمبلغ عن المخالفات في قانون 50 سيصبح بمثابة کابوس» متمثلاً في إقامة الدعاوى 
الجنائية على العديد من الشركات الأمريكية. من خلال تقدم العديد من الموظفين بطلبات 
للابلاغ عن المخالفات. إلا أن هذا الأمر لم يحدث حتى الآن» وحتى وقت نشر هذا الكتاب 
ا يد ا او ل و ل e‏ 
501 قد تم رفعهاء إلى جانب عدد أقل من إجراءات تسوية عادلة. وقد ثبت أن العملية 
القانونية وسيلة صعبة لحل القضايا وتسويتها. 

ومع ذلكء فإن المؤسسة بحاجة إلى معرفة دعاوى المبلغين عن ا مخالفات والتعامل معها 
باععازهضا فنا هاما:من عام حوكنة اله كاف كما يحب عن لومم يهاه إذارة 
داخلية للدعم بحيث يمكن لأي أحد من أصحاب المصلحة أن يبلغ دون الإعلان عن هويته 
عن أي مخاوف يشتبه بهاء كما يمكن أن يتوقع الإجراءات العلاجية المناسبة. وبناء على 
خبرتنا في إنشاء مثل هذه الإدارات لإحدى الشركات الأمريكية الكبرى» فإننا نطلق على هذا 
النوع من المرافق اسم الخط الساخن للأخلاقيات. 

ينبغي أن تكون إدارة الخط الساخن للأخلاقيات في المؤسسة عبارة عن مرفق يعمل أربعاً 
وعشرين ساعة في اليوم سبعة أيام في الأسبوع ۷/۲٤‏ بحيث يتمكن أي من موظفي الشركة 
وأصحاب المصالح من الذين يلاحظون أي شكل من أشكال المخالفات من التبليغ عنها 
بشكل سري ودون الخوف من عمليات انتقامية منه. وقد يتم رفع هذا الأمر إلى ا منظمة 
أو إلى السلطات التنظيمية. يجب ألا يكون هناك أي عمليات انتقامية ضد الموظف أو 
المبادرة باتخاذ إجراءات قانونية لاستعادة التعويضات. حيث هكن لهذه الدعاوى الخاصة 
بالمبلغ عن المخالفات إلحاق أضرار جسيمة بسمعة المؤسسة وكذلك على وظائف المديرين 
المتهمين. وفي الوقت الذي تطلب فيه قواعد قانون :50 من لجنة التدقيق أن تقو تقوم بإنشاء 
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مرفق خاص للتبليغ عن ا مخالفات» فإن الإدارات الأخرى في المؤسسة كإدارة الموارد البشرية 
والتدقيق الداخلي وأخلاقيات العمل في الواقع تكون بحاجة إلى إعادة الأمور إلى نصابها 

يضع برنامج التبليغ عن المخالفات الذي أقره قانون :50 تحدياً أمام أعضاء لجنة 
التدقيق. فالعضو العادي للجنة التدقيق التابع لمجلس الإدارة قد يكون مطلعا على 
الاحتياجات الخاصة للبرنامج الفعال للمبلغ عن المخالفات» ولكن من شبه المؤكد أنه لن 
يكون مطلعاً على العمليات اللازمة لإنشاء أحد هذه البرامج. ويمكن لمجموعات التدقيق 
الداخلي أو الموارد البشرية في معظم الأحيان أن تساعد لجنة التدقيق في وضع برنامج فعال 
للمبلغ عن المخالفات الذي يتوافق مع متطلبات قانون ×50. إن البرامج الفعالة الخاصة 
بالإبلاغ عن المخالفات تعد واحدة من تلك المفاهيم التي قد يكون سمع بها الكثير من 
المديرين التنفيذيينء ولكن استيعابهم لها قد لا يكون بالشكل الكافي. وتوفر الأقسام التالية 
مزيداً من المعلومات عن هذه البرامج. 
القوانين الاتحادية الخاصة بالمبلغين عن المخالفات: 

إن القوانين الاتحادية الخاصة بالمبلغين عن المخالفات بوزارة العمل الأمريكية 
Department of Labor (DOL)‏ .11.5 تدير وتفرض ما يزيد عن ۲۰۰ قانون من 
القوانين الاتحادية التي تغطي العديد من أنشطة الأعمال لنحو ٠١‏ ملايين من أرباب 
العمل و٠٠٠‏ مليون عامل. تقتضي معظم قوانين العمل والسلامة العامة والعديد 
من القوانين البيئية حماية المبلغين عن المخالفات بالنسبة للموظفين الذين يبلغون 
عن انتهاكات القانون من قبل أرباب عملهم. وتطبق قواعد قانون :50 الخاصة 
با مبلغين عن المخالفات على جميع العاملين في المنظمات المسجلة في هيئة الأوراق 
المالية والبورصة الأمريكية» ويتعين على الشركات العامة أن تُوْلي اهتماماً خاصاً بحماية 
المبلغين عن المخالفات في الشركات التابعين لها. ويقتضي قانون ×50 حماية المبلغين 
عن المخالفات من أصحاب المصلحة في الشركات المطروحة للتداولء مما لا يسمح لأي 
شركة عامة أو أي مسئول أو موظف أو مقاول أو وكيل في مثل هذه الشركات "أن يقال 
أو تُخفض مرتبته أو يدد أو يتم إيقافه أو مضايقته. أو أي طريقة أخرى تنطوي على 
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تمييز ضد الموظ ف في شروط وأحكام العمل نتيجة أي عمل قانوني قام به الموظف". 
تطبق تلك القوانين التشريعية عندما يقوم أحد الموظفين بتقديم معلومات أو يساعد 
في التحقيقات التي تجريها الوكالة الفدرالية التنظيمية أو وكالات إنفاذ القانون أو 
الكونجرس أو موظفي الشركة عن أي سلوك قد "يعتقد الموظف بشكل معقول" 
أثة نكل انتهاكاً لقوانين ولوائح هيئة الأوراق المالية والبورصة الأمريكية أو قوانين 
الاحتيال أو الملفات أو الإدلاء بالشهادة أو المشاركة فيها أو غير ذلك مما يساعد في 
الدعاوى - المعلقة أو على وشك أن تحفظ - التي تتعلق بأي انتهاك مزعوم. وبعبارة 
أخرىء فإن الموظف أو أصحاب المصلحة الذين يرصدون بعض المخالفات اطالية ويعد 
ذلك يقومون بالإبلاغ عنهاء تتم حمايتهم قانونياً أثناء التحقيق في هذا الأمر والبت 
فيه. 

في معظم الحالات» نجد أن الأحكام الخاصة بالمبلغ عن المخالفات قد وضعت في المقام 
الأول لحماية الموظفين الذين يظنون بأنهم قد اكتشفوا بعض المخالفات وليس لزيادة 
الضوابحظ الذاكلئة للعنظمة :هن الممكن أن كخضع جم اكرات اة امن فين 
شؤون الموظفين بحق الأشخاص المبلغين عن المخالفات مثل تخفيض المرتبة أو الإيقاف 
لعقوبات قانونية موجب هذا القانون. وعلى الرغم من عدم وجود العديد من التجارب 
المتعلقة بالمبلغ عن المخالفات المتعلقة بقانون ×80 في الوقت الراهن؛ فإنه من المتوقع أن 
يقوم كل من هيئة الأوراق المالية والبورضة ووزارة العمل وهما من الوكالات الفيدرالية 
على نطاق واسع.: بحماية الموظفين المبلغين عن مخالفات المحاسبة والتدقيق. ويشير ذلك 
إلى أن الموظف أو صاحب المصلحة الذي يسجل شكوى للإبلاغ عن المخالفات سوف يكون 
ا حتى يتم حل هذه المسألة. 

بموجب قانون ×50 تعد جريمة أن يقوم شخص "عن علم وبقصد الانتقام" بالتدخل 
في عمل أو كسب الرزق لأي شخص - المبلغ عن المخالفات - يزود مسئول إنفاذ القانون 
بأي معلومات صادقة تتعلق بارتكاب جرهة محتملة لانتهاك قانون :50. فأي موظف 
يبلغ عن مخالفة ويواجه بسبب ذلك ممارسات سلبية في العمل فإنه من المحتمل أن يصبح 
بمثابة "شاهد إثبات محمي". 
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يقتضي قانون 50 أن تقوم لجان التدقيق بإنشاء عملية لتلقي ومعالجة الشكاوى 
الواردة بخصوص المحاسبة وضوابطها الداخلية أو أي أمور تخص عمليات التدقيق ومن 
أجل "رفع الموظفين لتلك الشكاوي بشكل سري وغير معلوم الهوية" فيما يتعلق بمسائل 
المحاسبة أو التدقيق المشكوك فيها. إن أصحاب المصلحة الذين يدركون أنهم لن يتعرضوا 
للفصل أو التمييز غير القانوني نظراً لعملهم بصفة مبلغين عن المخالفات» سيسعون إلى مد 
يد العون عن طريق تقديم الشكاوى إلى وزارة العمل أو البدء بإجراءات المحاكم الفيدرالية. 
أما الذي سيتضرر فإنه سيحتاج عادة إلى الحصول على المساعدة القانونية الآمنة للسعي إلى 
تقديم المساعدة. وقد تتطلب هذه العملية المزيد من الوقت والتكلفة بالنسبة لكل من 
المبلغ عن ا مخالفات والشركة التي انمت بالمخالفة. فعلى سبيل المثال» ولضمان التغلب 
على الشكوى المقدمةء يجب على الموظف قبل الذهاب إلى وزارة العمل أن يثبت بأن 
المبررات التميزية كانت عاملاً أسهم في حدوث هذا الإجراء الوظيفي الظام في شأنه. ومع 
ذلك» فإنه يتم رفض موضوع الشكوىء إذا ما أثبت صاحب العمل "بالأدلة القاطعة" أنه كان 
سيتخذ الإجراء الوظيفي نفسه حتى في ظل غياب هذا النشاط المحمي. 

ويحق للموظف صاحب الحق في مثل هذا الإجراء المطالبة بالتعويضات الكاملة, 
ف ذلك إعادته إلى منصبه وإعادة الأجر مع الفائدة والتعويض عن تكاليف التقاضي 
وأتعاب المحاماة. ومما يزيد الأمور تعقيداً أنه هكن للمبلغ عن ا مخالفات ال متضرر أن يقوم 
باتخاذ إجراءات على عدة جبهات» فقد يسعى لطلب الحماية موجب القوانين الاتحادية 
(الفيدرالية) وقوانين الولايةء وكذلك بموجب أي ميثاق تفاوض جماعي في هذا الشأن. 
ويتعرض أرباب العمل لخطر مزدوج بسبب إجراءات المبلغ عن المخالفات» من خلال 
المسؤولية التي تفرضها أحكام قانون ×50 وكذلك القوانين الاتحادية وقوانين الولاية بشأن 
الفصل غير المشروع وأسباب مماثلة للإجراء. أضف إلى ذلك أنه» هكن للمبلغ عن المخالفات 
المتضرر السعي للحصول على تعويضات تأديبية من خلال إجراءات قضائية منفصلة. 

إذا حكمنا من خلال الخبرات الإدارية والقضائية السابقة في مجال صناعات الطاقة 
النووية وشركات الطيران: فإن قوانين حماية المبلغ عن المخالفات يمكن أن تصبح حقول 
ألغام للشركات. فإذا كان الموظف يثير أي نوع من أنواع التأكيدات التي تثبت أعمالاً غير 
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قانونية في الأمور المحاسبية والتدقيقية. فإن المبلغ عن المخالفات يكون محمياً تماماً حتى 
يتم التحقيق في المسألة والحكم فيها. وسيكون هناك العديد من المحامين المستعدين 
والحريصين على مساعدة المبلغ عن المخالفات ورفع الدعاوى, ولا سيما ضد الشركات الكبرى 
ذات الإمكانيات المالية الكبيرة. وبالإضافة إلى ذلكء فإن مجموعة كبيرة من وزارة العمل 
وا محاكم السابقين حاضرون في هذا المجال لدعم العقوبات التنظيمية والعلاجات الشخصية. 

ومن منظور خبرة امتدت لأكثر من ٠١‏ عاماً في مجال أنشطة المبلغ عن المخالفات 
التابعة لقانون ×80 في الولايات المتحدة» ينبغي أن تسعى المنظمة المعنية إلى تحقيق 
توازن بين حقوق الموظفين في رفع مخاوف مبلغي ال مخالفات والقدرة على إدارة القوى 
العاملة. إن بيئة العمل الإيجابية تحتاج إلى أن يشعر الموظفون بالحرية في رفع مخاوفهم 
إلى الإدارة وإلى آليات فعالة للتعامل مع أية مخاوف يتم إثارتها. إن البرامج القوية ا متعلقة 
بالأخلاقيات التي تمت مناقشتها في الأجزاء الأولى من هذا الفصل تعد مهمة لإيجاد بيئة 
نأمل بأن تحد من النشاطات التي تستدعي الإبلاغ عن المخالفات. 


قواعد الإبلاغ عن المخالفات وضوابط المؤسسة: 

باستخدام قواعد قانون :50 مثالاً على ذلك يكن لأي موظف أو أي شخص آخر 
من أصحاب المصالح أن يصبح من المبلغين عن المخالفات» وذلك بالإبلاغ عن أي نشاط 
غير قانوني أو غير لائق في مجال المحاسبة والرقابة الداخلية والتدقيق. وينبغي أن تكون 
هذه العملية أكثر فاعلية عندما يكون المبلغ المحتمل عن المخالفات هو أحد أعضاء طاقم 
المحاسبة للشركة الذي يسمع عن خطط لبعض المعاملات الاحتيالية أو موظف يعمل في 
وحدة نائية لا يرتادها موظفو الشركة باستمرارء كوحدة التدقيق الداخلي. فقد ممت 
قواعد الإبلاغ عن المخالفات لتشجيع أصحاب المصلحة للإبلاغ عن هذه الأفعال الاحتيالية 
أو غير المشروعة وتحمي إلى حد كبير الشخص الذي يبلغ عن تلك الأمور. وهذا يثير سلسلة 
من القضايا بشأن المدققين الداخليين ومراجعات التدقيق الداخلي خصوصا. 

إن الهدف من عملية التدقيق الداخلي التي تمت مناقشتها في الفصل التاسع عشر من 
هذا الكتاب» هو مراجعة واكتشاف مشالل الرقابة الداخلية وقضايا التدقيق الداخلي. 
حيث يتم مراجعة نتائج التدقيق الداخلي مع الإدارة وتقدم في شكل تقرير رسمي حيث 
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يمكن للإدارة وضع الخطوط العريضة لخططها الرامية لاتخاذ إجراءات تصحيحية. من 
ناحية أخرىء ماذا لو اكتشف فريق التدقيق الداخلي أن هناك مسألة من المسائل المتعلقة 
بالأمور المحاسبية أو الرقابة الداخلية أو التدقيق م تبلغ به[ الإذازة را في تقرير التدقيق؟ 
هل يستطيع أحد أعضاء فريق التدقيق الإبلاغ عن هذه المسألة موجب الإجراءات الخاصة 
بالإبلاغ عن المخالفات؟ هل يكن للمدقق الداخلي الذي يصادف مسألة تخص المحاسبة 
والرقابة الداخلية وأنها ليست جزءاً من عملية التدقيق المجدولة» أن يسلك مسار حماية 
المبلغ عن المخالفات للإبلاغ عن تلك المسألة؟ ماذا لو كان عضو من أعضاء فريق التدقيق 
الداخلي لا يؤدي أداء جيداً ويخثى إنهاء الخدمة؟ وهل هكن لهذا المدقق بوضعه المهتز 
أن ينبش في بعض النتائج المحتملة التي رها تكون معتمدة على أوراق عمل سابقة» ويقدم 
تقريراً بها إلى جهة خارج إدارة التدقيق ليحصل على الحماية الخاصة بالمبلغ عن المخالفات 
والأمن الوظيفي حتى يتم تسوية المسألة؟ 

من الواضح أن فريق التدقيق الداخلي يعد جا تن الإذازة:فالدفقون الذاخليون 
يتحملون المسؤولية الأولى في الإبلاغ عن أي مسائل غير نزيهة أو غير قانونية تواجههم 
خلال عمليات التدقيق إلى إدارة التدقيق الداخلي للبت فيها. لا ينبغي لأعضاء فريق 
التدقيق الداخلي أن يحاولوا العمل بشكل مستقل بصفة مبلغين عن المخالفات في جزء من 
عمل التدقيق الداخلي. بل يجب على التدقيق الداخلي أن يضع سياسة واضحة تنص على 
أن أي أمور تخص المحاسبة أو الرقابة الداخلية أو التدقيق وتتم مواجهتها خلال مراجعة 
التدقيق المجدولة. يجب أن يتم توثيقها في أوراق العمل الخاصة بالتدقيق وإرسالها إلى 
إدارة التدقيق الداخلي للبت فيها. يتعين على كل من فريق التدقيق الداخلي وإدارات 
الأقسام أو الوحدات التي يتم تدقيقها؛ أن يفهموا أن الغرض من التدقيق الداخلي هو 
عدم السماح لفريق مترصد من مبلغي المخالفات بتفقد دفاتر وسجلات الإدارة. وأن يتم 
التحقيق في أي بند من البنود غير القانونية أو غير اللائقة والإبلاغ عنها من خلال العملية 
الطبيعية للتدقيق الداخلي. 

قد تظهر حالة يكتشف فيها مدققٌ داخلي إسقاط إحدى المسائل المحاسبية أو المتعلقة 
بالرقابة الداخلية من عملية التدقيق» وربما يحدث ذلك في عملية يقوم بها المدقق الأول 
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لمراجعة أوراق عمل. فالمدقق الداخلي هو أول من يتحمل مسئولية الحصول على قرار 
في هذا الشأن من إدارة التدقيق الداخلي حتى يصل الأمر إلى مدير التدقيق الداخلي أو 
لجنة التدقيق. وفي حال قيام المدقق الداخلي بتوثيق المسألة والتبليغ عنها بينما ترى 
إدارة التدقيق إسقاط أو تجاهل هذه المسألة: فإن المدقق الداخلي وبكل تأكيد يكون 
له بعد ذلك الحق وعليه المسئولية في أن يبلغ عن هذه المسألة. وهو مفعم بالأملء من 
خلال إدارة الخط الساخن للأخلاقيات الخاصة بالمؤسسة أو حتى من خلال هيئة الأوراق 
المالية والبورصة. وينبغي أن تكون إدارة التدقيق والعمليات الأخرى المعمول بها في 
ا مكان ا مناسب لمنع مثل هذه الحالة المُبطة للمدقق الداخلي الذي يقوم بالإبلاغ عن 
المخالفات. 


إطلاق إدارة الخط الساخن للأخلاقيات في المؤسسة: 

قامت العديد من المؤسسات اليوم بإنشاء إدارات الخط الساخن للأخلاقيات. ويحتوي 
معظمها على وسائل سرية لخط الهاتف تدار من خلال قسم الأخلاقيات أو ا موارد البشرية 
أو مقدم خدمات مستقل. إن عمليات الهاتف المجاني هذه التي تعمل عادة على أساس 
٤‏ تسمح لأي موظف أو صاحب مصلحة بالاتصال بشكل سري ودون ذكر الاسم وطرح 
سؤال أو الإبلاغ عن مصدر قلقء أو "يطلق الصافرة" على مسألة ما. تتمثل فكرة توفير مرفق 
مستقل في أن يتمكن جميع أصحاب المصلحة من طرح الأسئلة أو الإبلاغ عن المخالفات 
المحتملة على أي مستوى. هذه الإدارات ليست مطلوبة من الناحية القانونيةء ولكنها 
وسائل تمكن الموظفين أو غيرهم من أصحاب المصلحة في أكبر المؤسسات من طرح الأسئلة 
أو الإبلاغ عن تصرفات خاطئة محتملة أو طلب المشورة. قد تكون القضايا المبلغ عنها 
عبارة عن ادعاءات تتعلق بسرقة ممتلكات الشركة أو شكاوى من الموارد البشرية» أو مجرد 
الاستفسار عن القضايا ا مثيرة للقلق. في معظم الحالات» سيقوم عامل الهاتف بأخذ جميع 
المعلومات اللازمة» وطرح أسئلة عند الحاجة: ومن ثم يقوم بتمرير الحادثة المبلغ بشأنها 
إلى السلطة المختصة للتحقيق والبت فيها. ويقوم الموظف المختص في إدارة الخط الساخن 
عادة بتخصيص رقم محدد للمسألة المبلغ عنهاء ومن ثم فإن المتصل يستطيع أن يتحقق 
من الحكم في وقت لاحق. 
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تم تأسيس الخطوط الساخنة للموظفين في العديد من المنظمات الكبيرة بداية من 
منتصف التسعينيات من القرن الماضي. يكون الموظفون المخضرمون في الموارد البشرية 
في الغالب هم المشغلين المناسبين لتمتعهم بمهارات خاصة للرد عل المسائل المتعلقة 
بالموارد البشرية» كالمعاملات والإجراءات الخاصة بأماكن العمل. أينما كانت أماكن ارتكاب 
المخالفات» فإنه يتم تحويل الحالة المسجلة إلى جهات أخرى كالإدارة القانونية مثلاً للتحقيق 
فيها. في بعض الأحيان نجد أن هذه الخطوط الساخنة قد تحولت إلى ما هو أكثر قليلاً 
من مجرد خطوط للتبليغ عن المخالفات» حيث استخدمت للتبليغ عن العديد من المشاكل 
وا مخالفات الطفيفة إلا أنها كانت بشكل عام ناجحة جداً. 

وعلى الرغم من أنه تم تأسيس العديد من إدارات الخط الساخن للأخلاقيات 
والسلوكيات للرد على استفسارات الموظفين وتقديم بعض النصائح والإرشادات والتحقيق 
في الحوادث المبلغ عنها بشكل إرضائي مناسب» فإنه باستخدام المبدأ نفسه نجد أن المرفق 
المنشأ بالفعل لبرنامج المبلغين عن ا مخالفات الخاص بقانون ×80 يضع المزيد من الضوابط 
والمسؤوليات الجديدة على عاتق هذه الإدارة. وعلى الرغم من أن العديد من جوانب 
المساعدة الودية للخط الساخن للأخلاقيات يمكن أن تظل مطبقة» فإن القوانين الاتحادية 
للإبلاغ عن المخالفات تتطلب عمليات ذات طابع رسمي أكبر من ذلك بكثير. ولا سيما في 
مجالات مثل السرية والوثائق المطلوبة لكافة السجلات. واممعالجة الفعالة لأي تحقيقات. 
وبالإضافة إلى ذلك فإن الموظف الذي يتم استدعاؤه في ادعاءات تندرج تحت بند الإبلاغ 
عن اممخالفات التابع لقأذون 50 يكون :مهنا فانونياً من أي اتهامات مضادة في المستقبل. 
في بعض الحالات» نجد أنه لا بد من حماية الموظف المبلغ عن المخالفات بحيث لا يمكن 
أن تكون هناك أية إجراءات من أي نوع موجهة إليه من قبل صاحب العمل حتى يتم 
البت في هذه المزاعم أو الادعاءات. ومع ذلك فمن أجل إنشاء مرفق خاص بالإبلاغ 
عن المخالفات في المؤسسة:. لا بد من تعزيز الإجراءات الرقابية في جميع مرافق الخطوط 
الساخنة للأخلاقيات والسلوكيات التي تم إنشاؤها لهذا الغرض. الشكل التوضيحي -7١(‏ 
*) يحتوي على مبادئ توجيهية لإعداد برنامج للخط الساخن للأخلاقيات يخدم أيضاً مرفق 
الإبلاغ عن المخالفات في الشركة. 
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شكل توضيحي )7-7١(‏ 
المبادئ التوجيهية لإعداد مركز اتصال للإبلاغ عن المخالفات 

٠‏ إنشاء خطوط هاتف مستقلة - يفضل أن تكون مجانية - بريد إلكتروني آمن للمرفق. يجب ألا 
تمر هذه الخطوط من خلال لوحات التوزيع الأخرى للشركة. 

٠‏ تدريب جميع العاملين في المرفق على الأحكام الأساسية للقواعد الاتحادية الخاصة بالإبلاغ عن 
المخالفات. وكذلك وضع النصوص بحيث يسهل على المتصلين طرح نفس الأسئلة العامة. 

٠‏ الإعلان عن المرفق والترويج له وتعزيزه في جميع أنحاء المؤسسة مع التأكيد على الإبلاغ عن كل 
الوقائع» وسوف يكون المتصل قادرا على التحقق من الحالة وسيتم التعامل مع جميع المتصلين دون 
السؤال عن هويتهم» كما لن يكون هناك اتهامات مضادة بسبب ما يقوم به المتصل. 

٠‏ تنفيذ نموذج تسجيل لتسجيل جميع المكامات. الاحتفاظ بتاريخ ووقت المكالة, واسم المتصل 


أو هويتهء وتفاصيل البلاغ. 
٠‏ إنشاء عملية للتوجيه والتخلص بحيث هكن تحديد حالة من لديه معلومات ا مكالمة وحالة أي 
٠‏ إنشاء قاعدة بيانات آمنة لجميع بيانات المبلغ عن المخالفات مع حماية مناسبة من خلال كلمة 
مرور. 


« العمل مع الموارد البشريةء ووضع إجراءات لحماية تامة من الاتهامات من أي نوع لأي مبلغ غير 
أن هذه الحماية تكون غير معلومة. 

٠‏ وضع عملية لتصفية كل المكالمات التي تخص المْبلغ عن ال مخالفات» وتوثيق جميع الإجراءات» 
إن وجدت. 





إن وجود مرفق خاص للخط الساخن والتبليغ عن المخالفات الأخلاقية ستكون قيمته 
محدودة مالم يتم إيصاله و"بيعه" لجميع أعضاء المؤسسة. وهناك طريقة جيدة لإطلاق هذه 
العمليات من البداية وهي عن طريق مدونة قواعد السلوك التي نوقشت سابقاً. حتى إن كان 
قد تم إطلاق هذا الخط الساخن بالفعل» يلزم إخطار الجميع بحقيقة أن هذا الخط يمكن أن 
يستخدمه أي شخص من مبلغي مخالفات محتملة تخص البنية الموجهة نحو الخدمة. ويجب 
أن يكون الهدف هو التحقيق في جميع المكالمات والحل الفوري لها - وخصوصاً المكالمات 
الخاصة بالإبلاغ غن اللخالفات -.داغلياً لتجتب المحققين والحامين 'الخارجيين. 


3۸ دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


بناء ثقافة أخلاقية في محل العمل والحفاظ عليها 


إطلاق برنامج أخلاقيات العمل وتحسين ممارسات الحوكمة المؤسسية: 

إن برنامج الأخلاقيات القويء المستند إلى بيان مهمة ومدونة قواعد سلوكية ذات معنىء 
يعد عنصرا أساسيا لأي برنامج شامل لحوكمة المؤسسة. إن الفضائح ا محاسبية التي أدت 
إلى ظهور قانون ×50 في السنوات الأولى من هذا القرن» كانت في أغلب الأحيان عبارة عن 
فضائح في المستويات العليا من المؤسسة. سواء كان ذلك بسبب تآمر أحد المسؤولين الماليين 
أو الرؤساء التنفيذيين الجشعين أم بسبب إحدى شركات المحاسبة التي لا تسمح بالاستفسار 
عن أي شيء. فقد قامت الفرق التنفيذية الموجودة في الشركات التي تعرضت لفضائح 

محاسبية بتأسيس قواعدها الخاصة مع إيلاء القليل من الاهتمام لباقي المؤسسة. 
إن برنامج الأخلاقيات القوي سوف يحسن من ممارسات حوكمة الشركات للمؤسسة 

بأكملها وليس فقط من ممارسات الأشخاص الموجودين في المكاتب التنفيذية. ينبغي النظر 

في الإجراءات الخمسة التالية على أنها جزء من إطلاق إستراتيجية فعالة للأخلاقيات والإبلاغ 

عن المخالفات للمؤسسة بأكملها: 

-١‏ سياسة الشركة: يجب أن يتم إصدار بيان سياسة اللمؤسسة من قبل الإدارة العليا لضمان 
تشجيع جميع أصحاب المصلحةء بأنه تقع على عاتقهم مسؤولية لفت انتباه الإدارة حول 
ابلخاوف المتحلقة:بالممازمنات اللخاشبية واظالية: يجب .عاق بان السياسة أيضا أن يؤكد 
أن الإدارة لن تتسامح مع الانتقام من الموظفين الذين يبلغون عن المخالفات. يمكن 
للسياسة أن تساعد في تعزيز عملية "الباب المفتوح" لمعالجة القضاياء التي في النهاية, 
هو النهج الأكثر فاعلية في الإدارة. 

؟- برنامج خاص بمخاوف وشكوك الموظفين: يجب وضع برنامج لاستقبال ومعالجة جميع 
المخاوف والشكوك المقدمة من قبل الموظفين بشكل سري وعدم الكشف عن هوياتهم. 
وينبغي أن يتضمن البرنامج الفعال لمخاوف الموظف: 
مقا مرزكزيا بأعالجة الشكوك:وايلخاوق والتحقيق فيها: 

٠‏ ضوابط لضمان إجراء التحقيقات الكافية باستمرارء مع التوثيق السليم الذي يصف 
القرار الصادر بشأن تلك الشكوك. 
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الفصل العشرون 


٠‏ آلية التغذية الراجعة لتقديم المشورة للموظف في التصرف وإبلاغه بالحكم المتعلق 
بالمسألة المبلغ عنها. 
. عملية تقييم دوري لفاعلية البرنامج. 


۴- تدريب المشرفين: ينبغي إجراء دورات تدريبية لجميع مشرفي الصف الأول والمديرين 
الآخرين حول كيفية الاستجابة بفاعلية للشكوك والمخاوف المطروحة من قبل الموظفين. 
تتصاعد المشاكل في كثير من الأحيان بسبب سوء الفهم بين الموظف ومشرفه أو مشرفته. 
فمن الممكن أن تعود بعض حالات العنصرية والتحيز والمحسوبية إلى الطريقة التي 
يتعامل أو يعالج بها المشرف حالة معينة مع أحد الموظفين. ومن ثم هناك حاجة ماسة 
لتدريب فعال للمشرفين والمديرين على التفاصيل الدقيقة المرتبطة بالشكوك والمخاوف 
المحتملة لدى المبلغين عن المخالفات. 

- إرشادات للمقاولين: نظراً لاحتمالية وقوع الشركات العامة في شباك الأعمال العنصرية 
أو التحيزية أو المحسوبية الناجمة عن المقاولين الرئيسين والمقاولين الفرعيين وغيرهم من 
الوكلاء لذا ينبغي وضع آليات خاصة معمول بهاء كتضمين شروط محددة في العقود 
لحماية الموظف. 

0- استطلاع آراء الموظفين: وينبغي أن تجري الشركات وبشكل دوري مسوحات للقوى 
العاملة لديها لتقييم الثقافة المؤسسية وقياس ما إذا كان لدى الموظفين الشعور بالحرية 


في إبداء مخاوفهم وشكوكهم. 
سواء أكانت شركة كبيرة أم صغيرةء فجميعها الآن تخضع لقواعد ومتطلبات قانون 


×0؟. إن العمليات الخاصة بالأخلاقيات والإبلاغ عن المخالفات التي تمت مناقشتها في هذا 
الفصل تعتبر من الأمور الهامة لتحقيق التوافق مع قانون ×50 والوصول كذلك إلى حوكمة 
مؤسسية رشيدة. 


2 دليل المستول التنفيذي لحوكمة تقنية ا معلومات 


بناء ثقافة أخلاقية في محل العمل والحفاظ عليها 


ملاحظة: 


.١‏ للمزيد من المعلومات حول شركة إنرون» وشركة ورلد كوم والشركات الأخرى التي 
شاركت في سن قانون ساربينز-أوكساي هكن العثور عليها في العديد من مصادر الإنترنت 
وكذلك كتاب روبرت مولرء Sarbanes-Oxley Internal Controls: Effective Aditi 1g‏ 
with AS5, CobiT, and ITIL (Hoboken, NJ: John Wiley & Sons, 2008).‏ 
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الفصل الحادي والعشرون 
تأثير حوسبة وسائل التواصل الاجتماعي 


هناك العديد من الأنواع والأنماط الجديدة التي نمت في السنوات الأخيرة في تطبيقات 
ومفاهيم تقنية ا معلومات» وقد رافق ذلك ظهور بعض التطبيقات الجديدة والهامة والقائمة 
على ما يعرف بنظم وسائل التواصل الاجتماعي 5(75]6225 1/16013 506131: التي جاءت 
بمسميات مثل فيسبوك وتويتر ولينكدإن وغيرها الكثير. فقد كانت هذه التطبيقات موجهة 
في البداية إلى المستخدمين المستقلينء لتتيح لهم إمكانية نشر الملاحظات والصور وغيرها من 
المواد المتعلقة برسائل الصداقة الشخصية على الإنترنت وبين الأصدقاء بشكل عام. وهناك 
العديد من الأمثلة على ذلكء كأن تقوم إحدى الطالبات بنشر صورتها وبعض تفاصيل 
الحفلة التي أقيمت في المدرسة الثانويةء أو أن يقوم آباء فرحون بنشر صور ومعلومات 
عن مولودهم الجديد. وتَعْرَف نظم وعمليات إرسال الرسائل هذه بصفة عامة بتطبيقات 
حوسبة وسائل التواصل الاجتماعي. فالعديد من رسائلهم تكون مختصرة جداً ويتم إرسالها 
عبر الرسائل النصية المتاحة على العديد من الهواتف الخلوية. تعد نظم التواصل الاجتماعي 
من الأدوات العظيمة؛ وقد فاقت شعبيتها شعبية البريد الإلكتروني المستخدم بكثرة في مجال 
الأعمال هذه الأيام» وذلك باعتراف وشهادة الجميع. ومن الطبيعي أن تتسبب تطبيقات 
حوسبة الشبكة الاجتماعية في كثير من الأحيان في إثارة بعض القضايا المتعلقة بحوكمة 
تقنية المعلومات عند استخدامها داخل بيئات عمل المؤسسات. 

ليس الهدف من هذا الفصل تقديم إرشادات تفصيلية عن استخدام تلك النظم أو 
التطبيقات الخاصة بالحوسبة الاجتماعية أو عن جوانبها التقنيةء لكن الهدف هو مناقشة 
قضايا حوكمة تقنية المعلومات عندما تتعرض ام مؤسسة التي تسمح بحرية استخدام تلك 
النظم أو حتى تثبيتها لقضايا متعلقة بحوكمة الحوسبة الاجتماعية والرقابة الداخلية. قد 
تكون هذه النظم جزءاً رسمياً أو غير رسمي من البنية التحتية لتقنية المعلومات في العديد 
إن لم يكن في كل المؤسسات اليوم» لذا يتعين على مديري المؤسسات أن يستفيدوا من بعض 
المزايا الإيجابية التي يمكن الحصول عليها من استخدام نظم وسائل التواصل الاجتماعي. 
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الفصل الحادي والعشرون 


كما يجب عليهم أيضاً أن يدركوا أن نظم وعمليات تقنية المعلومات الخاصة بوسائل 
التواصل الاجتماعي قد تشكل بعض المخاطر المرتبطة بحوكمة تقنية المعلومات للمؤسسات 
ا موجودة في الوقت الحالي. 


ما المقصود بحوسبة وسائل التواصل الاجتماعي؟ 

إن تطبيق أو نظام التواصل الاجتماعي عبارة عن موقع خدمة أو منصة أو موقع تقني 
على شبكة الإنترنت يركز على بناء شبكات أو علاقات بين مجموعات من الأشخاص أو 
المستخدمين الذين يتشاركون الاهتمامات أو الأنشطة نفسها. قبل سنوات ليست بالبعيدة 
كان مفهوم تقنية المعلومات الخاص بنظام التواصل الاجتماعي غير معروف. إن مثل هذا 
النظام للتواصل الاجتماعي لديه العديد من الميزات والمخاطر في بعض الأحيان بشكل 
أكبر من النظام التقليدي للبريد الإلكتروني الذي يتم من خلاله تعريف كل مستخدم على 
الشبكة من خلال عنوان البريد الإلكتروني الخاص به دون الحاجة إلى المزيد من المعلومات 
عن المشترك. في حين على الجانب الآخرء يقوم الأشخاص الذين يتشاركون الاهتمامات 
والروابط بتسجيل الدخول إلى أحد النظم الخاصة بالتواصل الاجتماعي» وذلك من خلال 
عمل بطاقة دعوة أوتوماتيكية خاصة بهم» أو من خلال تقديم ممحة مختصرة عن سيرة 
حياة المشترك. يحق لأعضاء الشبكة القيام بنشر صورهم أو معلومات عن سيرهم الذاتية, 
أو تعليقات عن أنشصطتهم وأسرهم» أو في بعض الأحيان نشر آرائهم السياسية أو غيرها 
من المواد. تعتبر جميع خدمات وسائل التواصل الاجتماعي تقريباً عبارة عن تطبيقات 
تعمل على شبكة الويب» وتسمح للمستخدمين بالتفاعل عبر شبكة الإنترنت أو من خلال 
البريد الإلكتروني أو الوسائل الخاصة بإرسال الرسائل النصية الفورية. كما تسمح مواقع 
التواصل الاجتماعي للمستخدمين بتبادل الأفكار والأنشطة والأحداث والاهتمامات من 
خلال شبكاتهم الشخصية. 

في الحقيقة» إن تطبيقات تقنية المعلومات الخاصة بوسائل التواصل الاجتماعي كانت 
قد ظهرت وبشكل جيد قبل عصرنا الحالي الذي يشهد حالياً انتشاراً واسعاً لشبكة الإنترنت 
وحتى قبل ظهور الحاسبات الشخصية المحمولة. وفيما يلي بعض الاتجاهات الرئيسية في 
تطوير حوسبة وسائل التواصل الاجتماعي منذ بدايتها وحتى الآن: 
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تأثير حوسبة وسائل التواصل الاجتماعي 


9484-٠‏ 1: تطبيقات من نوع واحد إلى قليل: في الأيام الأولى لظهور أجهزة الحاسبات 
الشخصية (على سبيل ال مثال» 11 6[ممخ أو 20 183/1).: كان التطبيق الأول المتعارف عليه 
لوسائل التواصل الاجتماعي يسمى نظام لوحة الإعلانات أو نظام لوحة النشرة ا محوسب 
Computerized Bulletin Board System (CBBS)‏ والذي افق في شهر فبراير من 
عام ۱۹۷۸ بواسطة وارد كريستنسن 01115]62562 ۷4» الذي كان يعمل في شركة 
.,. وقد تم استخدام هذا النظام من قبل مجموعة من مطوري البرمجيات في شركة 
6 ليقوموا بمشاركة الرسائل التي تتعلق بأوقات وأماكن الاجتماعات» وذلك لتقليص 
الوقت المهدر في المكالمات الهاتفية. وربما كان هذا التطبيق هو المثال الأول للتطبيقات 
التفاعلية التي يتجاوز فيها حد الرسائل المرسلة نمط الواحد لواحد ليصل إلى نمط واحد 
إلى قليل. 

في الحقيقة فإن شبكة الإنترنت لم تكن شائعة في ذلك الوقت. إلا أنه سرعان ما انتشرت 
آلاف من نظم لوحات الإعلانات 0885): بمسميات مثل فيدونت ]7140716 في جميع 
أنحاء أمريكا الشمالية وغيرها من الأماكنء لتصبح أدوات مفيدة وذات شعبية متزايدة 
للاتصالات بين المستخدمين المتباعدين جغرافياً والذين كان بإمكانهم الوصول إلى هذه 
النظم من خلال أجهزة المودم الهاتفية. 

146-٠٠‏ 1: نمو الإنترنت: في أوائل تسعينيات القرن الماضي» كان استخدام الإنترنت 
متاحا بداية فقط للمؤسسات الحكومية والعسكرية والأكادهية. فقد توجب على مؤلف 
هذا الكتاب» أثناء قيامه بتأليف كتابه الأول عن تدقيق تقنية المعلومات» أن يبحث عن 
أحد معارفه في إحدى الجامعات المحلية ممنحه إذناً كتابياً لإنشاء حساب إنترنت يسمح 
له بالوصول إلى بعض الوثائق الخاصة بتدقيق تقنية المعلومات. ولكنء سرعان ما ظهر 
العديد من تطبيقات الإنترنت التجارية القائمة على المستهلك بمسميات مثل بروديجي 
Prodigy‏ وكومبيوسيرف 001121156116. وسرعان ما تحولت هذه الخدمات إلى مقدمي 
خدمات الإنترنت (152) Internet service providers‏ كما كان يطلق عليها ا في 
المدن الرئيسية في الولايات اممتحدة. 
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الفصل الحادي والعشرون 


وسرعان ما لاقى القبول الزائد للمستهلكين على الإنترنت تأييداً كبيراً من شركة أمريكا أون 
لاين .80[1» وهي الشركة التي قامت بتسويق الإنترنت بقوة عن طريق نشر الملايين من أقراص 
الاشتراك الخاصة بهاء حيث تمكن المشاركون من الوصول إلى الإنترنت» وإرسال رسائل البريد 
الإلكتروني» وشراء البضائع» والمشاركة في مفهوم جديد من منتديات الإنترنت. هذا بالإضافة 
إلى الفرصة التفاعلية للانضمام الى المنتديات على الإنترنت وبث رسائل البريد الإلكترونيء كانت 

هذه التطبيقات هي الخطوات الأولى في التطبيقات التدريجية لوسائل التواصل الاجتماعي. 

3993-٠‏ 1: طفرة الدوت كوم: لقد شهد هذا العصر طفرة كبيرة في تقنيات الويب 
وأدوات الإنترنت. وقد اعتمدت معظم تلك التطبيقات الجديدة على المنتجات الاستهلاكية 
الجديدة وعلى عمليات التسويق. ولم يحدث في هذه الفترة أي تطور أو نمو في تطبيقات 
وسائل التواصل الاجتماعي يتجاوز حدود مواقع لوحة الإعلانات الموجودة. 

فقد كان الاستثناء الوحيد في هذا العصر هو ظهور تطبيق 51::1068165.©012: وهو من 
أوائل مواقع الويب الخاصة بالشبكات الاجتماعية» وقد استمر خلال الفترة »٠٠١٠-۱۹۹۷‏ 
وقد تمت تسميته وفقاً للمفهوم "ست درجات من الانفصال"". وقد سمح هذا التطبيق 
للمستخدمين بإدراج الأصدقاء وأفراد الأسرة والمعارف» كما سمح أيضاً للمتصلين الخارجيين 
بالانضمام إلى ا موقع. وتمكن المستخدمون من إرسال رسائل ونشر الإعلانات والحوارات 
النقاشية للأشخاص الذين هم من الدرجة الأولى أو الثانية أو الثالثة بالنسبة لهم» كما تمكن 
المستخدمون من مشاهدة الروابط مع الأشخاص الآخرين الموجودين على الموقع. فقد كان 
هذا التطبيق واخداً من التطبيقات الأولى لمواقع الويب الخاصة بشبكة التواصل الاجتماعي 

بالنمط نفسه الذي نشاهده هذه الأيام. 

٠‏ 06-06 +5: نمو الاتجاه نحو وسائل التواصل الاجتماعي: على الرغم من أن المخاوف 
المتعلقة بقدوم العام ٠٠٠١‏ ۲2 لم تشكل أزمة بالحجم الذي كان متوقعاًء ومن انحسار 
الطفرة التي حدثت في الدوت كوم فإن هناك العديد من تطبيقات وسائل التواصل 
الاجتماعي الجديدة قد أطلقت خلال هذه الفترةء منها ماي سبيس 806م2/1[:5. وفيسبوك 
۴aceb ook‏ وفريندستر 81161035]61: ولينكدإن 11216017 وغيرها. وسوف نناقش 006 
من هذه التطبيقات بمزيد من التفصيل في الأقسام التالية. 
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وقد تم استخدام العديد من هذه التطبيقات الجديدة على نطاق واسع من قبل 

أشخاص من داخل المنظمات المؤسسية ومن خارج التطبيقات الخاضعة لسلطة اممؤسسة. 

وعلى الرغم من أنه كان هناك دانئما بعض الأصوات المرتفعة على نطاق ضيق» فإن تطبيقات 

وسائل التواصل الاجتماعي قد سمحت للناس بإنشاء المحتوى والمشاركة في التعليقات دون 

مشاركة المنظمة - وهو توجةً هدام في غالب الأمر! 

كا هذه الفترة تم إطلاق تطبيق آخر على منصة الإنترنت» وهو وورد 5وع2 10/0102 
والذي سمح للأشخاص الذين ليس لديهم معرفة بالبرمجة ببناء وإطلاق مواقع المدونات 
الإلكترونية أو المذكرات الشخصية أو مواقع المحتوى. فباستخدام هذه الأداة. يمكن لأي 
شخص أن يقوم باستضافة مدونة إلكترونية على موقع المجال الذي يمتلكه أو تمتلكه ولها 
السيطرة الكاملة على تصميمه ومحتوياته بصورة أساسية. وقد كانت هذه خطوة كبيرة 

نحو الصحافة الشخصية. 

١‏ 009-0!: استمرار نمو تطبيقات الشبكات الاجتماعية: استمر نمو وتطوير تطبيقات 
وسائل التواصل الاجتماعي» وذلك من خلال ظهور تطبيقات مثل يوتيوب 6ط ]ناملا 
وهو موقع ويب خاص بتبادل ملفات الفيديو. حيث يمكن لأي شخص أن يقوم بنشر أي 
محتوى للفيديو. وقد ازدادت شعبية استخدام الهواتف الذكية بشكل كبير وملحوظ 
في هذه الفترة. وأصبحت رائجة على نطاق واسع. ويمكن للمستخدم أن يحمل عليها 
مجموعة متنوعة من التطبيقات. رهما كان التطبيق الجديد والأكثر أهمية في وسائل 
التواصل الاجتماعي خلال هذه الحقبة هو تويتر 15016161 وهو تطبيق يستخدم للرسائل 
أو التعليقات الإلكترونية القصيرة. حيث يستطيع المستخدم أن يقوم بنشر رسائل تعتمد 
على ال محتوى القصير ومتابعة الآخرين من خلال دفعات قصيرة من المعلومات. وسوف 
نقدم تويتر بمزيد من التفصيل في قسم لاحق. 

٠١‏ وما بعدها: استمر نمو استخدامنا لتطبيقات الوسائل الاجتماعية في هذه الفترة, 
الأمر الذي تسبب في ظهور العديد من القضايا والمخاوف المتعلقة بحوكمة تقنية ا معلومات 
في المؤسسات هذه الأيام. فعلى سبيل المثالء قد شهدت الأحداث العالمية خلال الأشهر 
الأولى من عام ۲١٠١‏ ما أطلق عليه شعبيا اسم الربيع العربيء حيث تم الإطاحة بالقادة 
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السياسيين المستبدين في كل من تونس ومصر وليبيا. وقد بدأت الاحتجاجات المناهضة 
للحكومة في كل دولة من تلك الدول بعد إجراء العديد من الاتصالات والحوارات عبر 
وسائل التواصل الاجتماعي بواسطة الفيسبوك وغيره من الوسائل الأخرى. فقد رأى الناس 
الأحداث التي آثارت غضبهم وقاموا بنشر تعليقاتهم وصورهم للآخرينء من الذين قاموا 
بنقلها لأشخاص آخرين. وكانت النتيجة هي تصاعد موجات من الاحتجاجات الشعبية 
التي سرعان ما أطاحت بتلك الحكومات. 
وعلى الرغم من أن استخدام الناس لمثل هذه الوسائل الخاصة بالتواصل الاجتماعي 
"فنبسبوك؟ للإطاحة تالحكومات الامعدادنة تند واعدا من الأمئلة الجفيقية عن السرظة 
القوية لتلك الوسائلء فإنها لا تزال تحمل بعض التحديات التي تتعرض لها المؤسسات 
هذه الأيام. فمن الممكن أن تشكل أدوات وخدمات وسائل التواصل الاجتماعي بعض 
التحديات بالنسبة لحوكمة تقنية المعلومات في المؤسسات هذه الأيام. فإن هذه النظم 
تعتبر جديدة بالنسبة للعديد من المؤسسات الحالية» ولا تستطيع تلك المؤسسات التي 
لا تزال تستخدم النظم والتطبيقات التقليدية لتقنية المعلومات أن تكون في المكانة التي 
تسمح لها بسهولة بتبني نظم وسائل التواصل الاجتماعي المفتوحة وا مرنة. هذا بالإضافة 
إلى أنه سيكون الأشخاص العاملون في المؤسسة في الغالب عبارة عن مستخدمين يقومون 
باستخدام تطبيقاتهم الخاصة بحوسبة وسائل التواصل الاجتماعي بشكل شخصي. الأمر 
الذي من الممكن أن يثير بعض المشاكل المتعلقة بحوكمة تقنية المعلومات في حال م تقم 
المؤسسة بوضع القواعد والإجراءات المناسبة التي تغطي العمليات التشغيلية لتلك الوسائل. 


أمثلة على وسائل التواصل الاجتماعي: 

ستتناول الأقسام التالية ثلاثة من أشهر تطبيقات وسائل التواصل الاجتماعي التي 
يختلف بعضها عن بعض كلياً (فيسبوك ولينكدإن وتويتر)» كما أنها ستتناول بعض 
القضايا المميزة الخاصة بالحوكمة المحيطة بكل تطبيق من هذه التطبيقات. لقد بدأ 
استخدام كل تطبيق من هذه التطبيقات بشكل شخصي. إلا أن الناس قاموا بنقله إلى 
أماكن العمل من خلال الاتصالات التي يجرونها على نظم الحواسيب المحمولة والهواتف 
الذكية الخاصة بهم. 
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فيسبوك :Facebook‏ 
فيسبوك هو أحد خدمات ومواقع الويب الخاصة بالتواصل الاجتماعي التي تم إطلاقها 
في شهر فبراير من عام 7٠١6‏ من قبل مارك زوكربيرج 815618>اءنات 2/1311 وعدد من زملائه 
القاطنين معه في السكن الجامعي الخاص بجامعة هارفارد 114۲۷4١١‏ وسيلة للتواصل 
وتبادل المعلومات بين زملائه من طلاب الجامعة. كان تطبيق الفيسبوك في البداية مقتصراً 
فقط على طلاب جامعة هارفارد» ولكن سرعان ما امتد ليصل إلى الكليات الأخرى في منطقة 
بوسطن» ثم وصل إلى جامعة آيفي ليج [48٥‏ 1۷ء ثم جامعة ستانفورد ٣۴0۲۵‏ ه)؟. 
وقد أخذ فيسبوك تدريجياً في نيل دعم طلاب الجامعات الأخرى عن طريق السماع قبل أن 
ينتقل بعد ذلك ليصل إلى طلاب المدارس وغيرهم من المستخدمين. أصبح نظام فيسبوك 
هذه الأيام يحظى بشعبية كبيرة ويستخدم من قبل الكثير والكثير من الأشخاص في جميع 
أنحاء العالم. كما أنه حل محل البريد الإلكتروني كوسيلة للاتصال بين الأفراد بالنسبة للعديد 

من الأشخاص هذه الأيام. 


أصبح عدد المستخدمين النشطين لنظام فيسبوك في أغسطس ۲۰۱۲ يزيد عن 16٠‏ 
فليون بعد أن كان يستخدم من قبل مستخدمين محدودين في السكن الجامعي عام 2٠١6‏ 
وما زال عدد المستخدمين لهذا التطبيق في تزايد مستمر. وقد بدأت شركة فيسبوك العمل 
غل آنا شركة خامنة إلا انها أضبحت غراف كه غامة: 

تكون البداية الأولى للأفراد المستخدمين لتطبيق نۇق اة غالبا عرق تفي من 
أحد الأشخاص» وقوعاةة ماايكون ضديقاً شخصياء يقوم بإرسال رسالة بريد إلكتروني إليهم 
طالباً منهم أن يصبحوا أصدقاءه على فيسبوك. وبعد ذلك سيُطلب من المستخدم الجديد 
بأن يقوم بإنشاء ملف شخصيء» وإضافة مستخدمين آخرين كأصدقاء ليتبادلوا الرسائل 
والإشعارات التلقائية التي تنطلق عند تحديث ملفاتهم الشخصية. كما هكن للمستخدمين 
الانضمام إلى مجموعات المستخدمين ذوي الاهتمام المشترك التي تم ترتيبها وتنظيمها من 
قبل مكان العمل أو المدرسة أو الكليةء أو غير ذلك من ال معام. 
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الانضمام إلى فيسبوك: 

وبالنسبة لكثير من محترفي الأعمال الرفيعي المستوىء يعتبر فيسبوك أكثر من مجرد 
تطبيق تقنية معلومات. فهو في غالب الأمر مفهومٌ را يكون كبار محترفي الأعمال قد قرؤوا 
عنه» حتى وإن لاحظنا في كثير من الأحيان عدم فهم المدير التنفيذي نفسه لهذا النظامء 
والذي يتجاوز عادة حدود التعليقات والأنشطة التي يفوج بتبادلها مع أبنائه وغيرهم 
من البارعين في تقنية المعلومات. وقد يكون هذا حقیقیا ERE‏ إذا كان لدى المرء أبناء 
يستخدمون ويفهمون نظام فيسبوك وهم في سن الجامعات أو المدارس الثانوية. فهناك 
٠‏ من ملايين المستخدمين لفيسبوك هم دون سن .١0‏ 

في كثير من الأحيان يشارك الشخص في فيسبوك للمرة الأولى من خلال تلقيه رسالة 
بريد إلكتروني فق :فحل أحذ شركاء الأعمال أو الأقارب طالباً منه آي يصبح فقا" له 
على فيسبوك. الشكل التوضيحي )١1-5١(‏ يوضح الخطوات اللازمة لتسجيل الدخول إلى 
الفيسبوك. الفكرة هي أن الشخص يقوم بتسجيل الدخول بالاعتماد على الدعوة الأولية 
الموجهة إليه. ومن ثم يمكنه الاتصال بالآخرين الذين هم أيضاً مستخدمون لفيسبوك. يمكن 
للأصدقاء على فيسبوك الاتصال مع الآخرين بطريقة متتالية بصفة أصدقاء الأصدقاء الذين 
يمكنهم الاتصال لإنشاء شبكة واسعة. 


استخدام فيسبوك: 

إن تطبيق فيسبوك أكثر بكثير من أن يكون مجرد بديل عن استخدام نظام البريد 
الإلكتروني فهو يسمح لك بأن تقوم ببناء ملف شخصي خاص بكء ونشر أو إرسال الرسائل 
لكل شخص من الأشخاص الموجودين على قائمة الأصدقاء الخاصة بك لتقوم بتقديم 
الشروحات للأنشطة التي تمارسهاء ولتتبادل الرسالة مع أصدقائك على الفيسبوك والعديد 
من الأنشطة الأخرى. فقد تتشابه إلى حد ما هذه الرسائل سواء كانت نصية أم صوراً مع 
محتويات البريد الإلكتروني أو الرسائل النصية القصيرة المرسلة من خلال الهواتف الذكية. 
ومن ال مؤكد أن تلك الرسائل المرسلة في بيئة السكن الجامعي تكون عادة عبارة عن تعليقات 
وصور تتعلق بإحدى الحفلات أو الأحداث التي وقعت مؤخراً. وتكون في العادة مجرد 
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ملاحظات يتم إرسالها دون الحاجة للرد. ويمكن لمستخدم فيسبوك أن يقوم بإرسال مذكرة 
محددة أو سؤال إلى أي شخص أو لجميع الأشخاص الموجودين على قانمة أصدقائه. ويمكن 
عندئذ أن ترسل أو نُوَجّه تلك الرسائل إلى غيرهم. 


شكل توضيحي )١-71١(‏ 


خطوات الانضمام لفيسبوك 


الخطوة .١‏ قم بزيارة موقع فيسبوك (b00k).›0ءwww.face).‏ 


الخطوة + | قم بإدخال اسمك بإلكاملء غنوان بريد إلكتروق سليم:وتازيخ الميلاة: 
وبالإضافة إلى ذلك ينبغي عليك إدخال أكبر قدر من المعلومات الشخصية وذلك 
عندما ترغب في نشرها على حسابك في فيسبوك في القسم "حول"؛ناهطه". وهذا 
قد يشمل عنوان العملء والخلفية التعليمية: وأي مجال من المجالات العديدة 
الأخرى الخاصة بالاهتمامات الشخصية. يمكن للمرء أن يضع أيضاً صورة رقمية, 
أو صورة لأحد الزوجين والأسرة: وغيرها من المعلومات الشخصية في هذا المكان. 


يمكن لمستخدم جديد في فيسبوك أيضا اختيار "لا ثيء مما سبق" لتكون مجرد 
اسم مع قليل من ال معلومات الشخصية. 
ف اختر كلمة مرور خاصة بك. إدخال كلمة مرور يسهل تذكرها من ستة أحرف 
على الأقل. 
أكمل اختيار التحقق من الصورة. حدد الكلمات أو الأرقام المعروضة واكتبهم. 
اقرأ شروط الاستخدام وسياسة الخصوصية الخاصة بالفيسبوك. ضع علامة 
داخل ال مربع لتعبر عن موافقتك على شروط كل منهما. 
انقر على زر "اشترك!" في أسفل الصفحة وانتظر إعادة توجيه إلى صفحة 
الشكر لكم. 
راجع صندوق البريد الإلكتروني الخاص بك وانقر على صفحة التأكيد من 
فيسبوك. فإنها سوف ترسل لك رابط التأكيد للتسجيل الخاص بك. 
تستطيع منشورات الفيسبوك أن تعرض وصفاً تفصيلياً عن الحياة الشخصية لأحد 
الأشخاص ونشاطاتهء وذلك. اعتماداً على مستوى الخصوصية الذي تم تحديده. على سبيل 
ا مثال» بعد الدخول إلى فيسبوك» يستطيع الشخص أن يدخل إلى أحد الأسماء المعروفة 
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والذي رها يكون مُسَجلاً في فيسبوك - أو إلى اسم أي شخص آخر لنفس الغرض - والنظر 
إلى الملف الشخمي الخاص بهذا الشخص. وإلى آخر المنشورات المرسلة من الآخرين» كما 
يستطيع الوصول إلى أصدقاء ذلك الشخص على الفيسبوك» وحتى الاطلاع على منشوراتهم 
أيضاً. وسنتحدث بشكل أكبر عن المخاوف المتعلقة بخصوصية الأعمال في هذا المجال في 
قسم لاحق» ولكن إذا لم يقم مستخدم فيسبوك بتحديد النشاط الذي يقوم به على فيسبوك 
على أنه نشاط خاص. فإنه هكن لأحدهم أن يصل في بعض الأحيان إلى معلومات تفوق 
الحد الذي يريده ذلك المستخدم. على سبيل المثالء قد يرى الشخص بعض الرسائل من 
نوع "شكراً لدعوتي لل. . . " التي تم إرسالها إلى أحد الأشخاص. وأحياناً مع صورة. وكذلك 
القدرة على الذهاب إلى صفحة فيسبوك للمرسل. هذه الرسائل المرسلة تبقى لفترة طويلة 
ما م يتم اتخاذ خطوات مدروسة لحذف السجلات. وعلى الرغم من روعة كل هذا الأمر 
بالنسبة لحياة الطالب الجامعيء فإن المنشورات والأنشطة المسجلة قد تكون مصدرا لبعض 
المخاوف المتعلقة بالخصوصية وحتى المخاوف الأمنية في بيئة الأعمال. 

ومن الممكن أيضاً أن يكون تطبيق فيسبوك مفيداً في بيثات العمل إذا ما استخدم 
وسيلة لبناء وإدارة فرق القوة العاملة. فعلى سبيل المثالء بالنسبة للمشاريع التنفيذية 
للنظم الكبيرة - على غرار الجهود الوارد وصفها في الفصل السادس عشر من هذا الكتاب 
حول إدارة المشاريع والبرامج - فإن مدير المشروع هكن أن يطلب من جميع أعضاء 
فريق المشروع أن يقوموا بإنشاء أو تحديث ملفات التعريف الخاصة بهم على فيسبوك 
ليتم تثبيتهم بوصفهم أعضاء في فريق المشروع. عندها سيكون من السهل القيام بجدولة 
وإرسال أحداث المشروع» كما هكن للمدير المسئول التعرف على المعلومات الأساسية لأعضاء 
الفريق والدخول إلى ملفاتهم الشخصية بطريقة أكثر لطفاًء على عكس ما يحدث عند قيامه 
بالوصول إلى سجلات الموارد البشرية التقليدية. 

إن حديثنا هنا يُبرز فقط القليل من سمات فيسبوك الآخذة في التوسع. هكن للمرء 
الاشتراك لتحميل منشورات من مواقع ويب محددة. ونشر الرسائل أو التواصل من خلال 
الهاتف الذي واستقبال رسالة عيد الميلاد التي هكن نشرها لجميع أصدقاء هذا الشخص على 
فيسبوك. بالنسبة للمؤسسة التجاريةء يتسبب تطبيق الفيسبوك في إثارة بعض المخاطر. 
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على سبيل المثالء من الممكن أن يقوم أحد الموظفين بإرسال شكوى فى منشور على فيسبوك 
تتعلق بجودة بعض منتجات الشركة أو حتى كفاءة أحد المديرين. فالرسالة التي أرسلت 
إلى أحد الأصدقاء على فيسبوك على أنها رسالة شخصية يمكن أن يرسلها هذا الصديق إلى 
أصدقاء الأصدقاء مكونين بذلك شبكة اتصالات واسعة النطاق والتي توق لها أحنانا مردوة 
على المؤسسة وبعض القضايا الخاصة المتعلقة بها. كما سنتحدث في القسم التالي عن 
القضايا القانونية الخاصة بوسائل التواصل الاجتماعي» حيث يوجد العديد هنا من قضايا 
حوكمة تقنية المعلومات. 


على الرغم من امتلاك تطبيق الفيسبوك أداة خاصة لبناء صفحات أعمال المؤسسة» 
والتي تعد إحدى الأدوات القوية لتسويق جميع جوانب العمليات التجارية للمؤسسة 
وأن هناك تصاعداً مستمراً في استخدام الفيسبوك باعتبارها إحدى أدوات الاتصال في مجال 
الأعمالء فإنه يستخدم عادة في هذه الأيام لغايات الاتصالات الشخصية وليس للأعمال 
التجارية. فإنشاء صفحة أعمال على الفيسبوك تعد من الوسائل الجيدة للترويج وذلك لأن 
صفحات الأعمال على فيسبوك يكن مشاهدتها من قبل الملايين من مستخدمي فيسبوك. 
تعد صفحات فيسبوك تلك بمثابة منصة إعلانية فعالة تقدم أساليب مبتكرة للتسويق عبر 
الويب» الأمر الذي يسمح بالتفاعل بين أصحاب الأعمال والعملاء. في الحقيقة فإن هذه 
الصفحات تذهب إلى ما هو أبعد من قضايا حوكمة تقنية المعلومات المذكورة في هذا 
الفُصل: كما أثها مغل :تطريقا مؤسسيا قونا وفجالاً: 


لينكدإن :LinkedIn‏ 
لينكدإن هو أحد تطبيقات وسائل التواصل الاجتماعي التي تحظى بشعبية كبيرةء ويقوم 
هذا التطبيق على الشبكات الاجتماعية أو المهنية المرتبطة بالأعمال التجارية» ويستخدم 
لإجراء اتصالات شبكية بين العديد من المجموعات المهنية» كأعضاء 410284 أو خريجي 
الجامعات. يعد موقع لينكدإن أيضاً بمثابة منصة اتصالات شعبية بالنسبة للعديد من 
الفئات المهنية» كمديري المشاريع والمهندسين المدنيين» والجيولوجيينء والمدققين» وغيرهم 
الكثير. وتعمل تلك المنصة في جميع أنحاء العام وبعدة لغات. وقد كان هناك أكثر من 

٥‏ مليون مستخدم مسجلين في لينكدإن حتى وقت نشرنا لهذا الكتاب. 
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كانت المرة الأولى التي تَحَرّف فيها معظم المهنيين على تطبيق لينكدإن من خلال 
استقبال رسالة بريد إلكتروني من أحد المشاركين المهنيين مصحوبة بدعوة للانضمام إلى 
إحدى المجموعات الموجودة في لينكدإنء أو للقيام بتأسيس اتصال لينكدإن لبعض المصالح 
أو الاهتمامات المهنية ا مشتركة. إذا كان الشخض المدعو جذيدا على تظبيق لينكدإن: فإنه 
يطلب منه التسجيل عن طريق إرسال بعض المعلومات الشخصية. والتي تتعلق غالباً 
بسيرته المهنية. الأمر الذي يأخد طابعاً أكثر رسمية مما هو عليه في تطبيق الفيسبوك» الذي 
من خلاله يطلب من الشخص أن يصبح أحد أصدقاء فيسبوك لشخص ما دون الحاجة إلى 
إدخال أي معلومات أو تقديم طلب ما. 
عند التسجيل في لينكدإن عضواً في إحدى المجموعات ال مهنيةء فإنه يُطلب من المستخدم 
أن يقوم بتوفير معلومات عن سيرته المهنية وأصحاب العمل الحاليين والسابقين. وكذلك 
تواريخ تلك الوظائف وغيرها من المعلومات المهنية الشخصية. كما يوجد هناك حيز لنشر 
سيرة ذاتية كاملة وإعلانات وغيرها من المواد. ويضم النظام أيضاً عملية تسمح للمسجل 
الجديد أن يطلب جهات الاتصال الخاصة بأرباب العمل والمهنيين السابقين لتقدهها كمراجع. 
يسمح تطبيق لينكدإن للمستخدمين المسجلين بالاحتفاظ بقائمة تفصيلية بجهات الاتصال 
مع الأشخاص الذين لديه معهم مستوى معين من العلاقة تسمى زملاء 5دمناءعصه00. 
يمكن للمستخدمين أن يقوموا بدعوة أي شخص (سواء كان مستخدماً للموقع أم لا) ليصبح 
زميلاً نا١٠۸٥‏ ضمن مجموعة الزملاءء إلا أن المتلقي للدعوة يستطيع اختيار "لا أعرف" 
ليقوم برفض الدعوة الموجهة إليه. يمكن استخدام زملاء لينكدإن بإحدى الطرق التالية: 
كق اا سبك اتصال.مكوقة من انرما الارن لخن ماه وووضف الؤملة الأوائل 
بزملاء الدرجة الثانيةء وأيضاً يوصف زملاء الدرجة الثانية بأنهم زملاء الدرجة الثالثة. 
يمكن أن يستخدم هذا للحصول على تعريف لشخص ما يرغب في معرفته من خلال 
الاتصال المتبادل. 
٠‏ ويمكن بعد ذلك أن يستخدم لينكدإن في العثور على وظائف. وأشخاصء وفرص الأعمال 
التي أوصى بها شخص ما في شبكة اتصال أحدهم. 
٠‏ هكن لأصحاب العمل إدراج الوظائف والبحث عن المرشحين المحتملين. 
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٠‏ هكن للباحثين عن وظيفة مراجعة املف الشخحى لديري التوظيف واكتشاف أي من 
جهات الاتصال الموجودة يمكن التواصل معهم من خلالها. 

«يمكن للمستخدمين نشر الصور الخاصة بهم وعرض صور غيرهم للمساعدة في تحديد 
الهوية. 

« هكن للمستخدمين متابعة مختلف الشركات والحصول على إشعارات حول المنتجات 
الجديدة أو غيرها من المعلومات. 

٠‏ تتطلب آلية الوصول المستخدمة في بوابة تطبيق لينكدإن جهات اتصال لمجموعة من 
المهنيين المرتبطين بعلاقة سابقة» أو بإدخال إحدى جهات الاتصال الخاصة بهم بنية بناء 
الثقة بين مستخدمي الخدمة. 


ضمن حدود المجالات المتنوعة للموضوع ات المتخصصة الموجودة في تطبيق لينكدإن» 
فإن مواقع هذا التطبيق تعد منتديات نقاشية نشطة تغطي العديد من المجالات المتخصصة 
في لينكدإن. على سبيل ال مثال» يتضمن موقع لينكدإن الخاص بالجمعية الوطنية لأجهزة 
التحكم في الشركات”" سلسلة من النقاشات النشطة. ويجوز لعضو لينكدإن ا مشترك في 
هذه المجموعة أن يقوم بطرح سؤال مثل: "كيف يجب على مجلس الإدارة أن يدير مدققيه 
الداخليين بشكل أفضل؟" وقد يقوم الأعضاء الآخرون في هذه المجموعة بالرد على هذا 
السؤال» وقد تكون النتيجة نشوب نقاش ساخن يستمر بين جميع الأطراف. 

ولعل الأمر الأكثر أهمية في سمات الاتصالات المهنية الخاصة بتطبيق لينكدإن. هو 
أنه يشمل سلسلة من التطبيقات المتخصصة التي تهدف للحصول على إرشادات وظيفية 
وتحليل سير الأعمال» وتعزيز مبيعات الممنتجات» وتعزيز الوعي بالعلامة التجارية» والتعامل 
مع مبيعات التذاكرء والتواصل مع المستثمرين وما هو أكثر من ذلك بكثير. إن تطبيق 
استطلاعات الرأي الخاص بتطبيق لينكدإن يعد من الأمثلة الجيدة على ذلك. فهو يتيح 
لمستخدمي لينكدإن إمكانية العثور بسهولة على إجابات لأسئلة تخص أبحاث الأعمال 
والسوق. فهو يسمح للمؤسسة بأن تقوم بطرح بعض الأسئلةء التي سيقوم تطبيق لينكدإن 
بتوزيعها على زملائك وعلى الملايين من المهنيين المتواجدين على الموقع. ومن الممكن 
أيضا أن يتم مشاركة نتائج الاستطلاعات مع مستخدمي فيسبوك أو تويتر على الحساب 
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الخاص بالمؤسسة:. أو القيام بإضافتها إلى موقع الويب الخاص بالمؤسسة. وهو يعمل تماماً 
مثل أي خدمة استطلاع أخرى: يمكن لمستخدمي لينكدإن أن يقوموا بطرح سؤالء وإضافة 
حتى خمسة ردود أو إجابات محتملةء واختيار مدة التشغيل. وبمجرد أن يتم استلام 
الإجابات ضمن المدة الزمنية المحددة, فإن لينكدإن سيقوم بمشاركة الإجابات مع الشبكات 
الاجتماعية التي تم تأسيسها أو المواقع الإلكترونية للمؤسسة. نظراً لوجود هذا الرابط 
القوي في تطبيق لينكدإن» فإن ردود الاستطلاع هكن تقسيمها للتصويت حسب العمر أو 
الجنس أو الأقدمية » وهو ما يسمح للإدارة بتحليل أسئلة مثل " هل إجابة الشخص الذي 
عمره ۲۵ سنة تختلف عن إجابة الشخص الذي عمره 0 سنة؟" أو " هل تختلف إجابات 
لوحال عن إخانات الغا" 

إن لينكدإن أكثر من مجرد تطبيق خاص بالأعمال التجاريةء كما أنه لا يمتلك البيئة 
المفتوحة نفسها وا معرضة للمخاطر المحتملة التي يمكن أن نجدها فى فيسبوكء فالرسائل 
المرسلة لأصدقاء فيسبوك يمكن بسهولة تعميمها وإعادة تعميمها على الآخرين. ومع ذلك» 
ونظراً لأن تطبيق لينكدإن يعتبر وسيلة للاتصالات والنقاش المهني بين مختلف الفئات 
المهنية المتخصصة: فمن الممكن للبيانات السرية للمؤسسة أن تتسرب بسهولة من خلال 
مواقع النقاش الخاصة بتطبيق لينكدإن. أحد مهندسي تطوير ال منتجات» على سبيل المثال» 
قد يقوم بالاشتراك في موقع لينكدإن الخاص بمهندسي تطوير المنتج في المؤسسة. كجزء من 
المناقشات الجارية على الإنترنت عبر تطبيق لينكدإن» قد يقوم مهندس التطوير بالرد بشكل 
غير سليم على مناقشة عبر الإنترنت عن طريق إعطاء بعض المعلومات السرية للمؤسسة 
حول نقطة فنية دون أن يدرك طبيعة البيانات الصادرة عنه. أضف إلى ذلك» أن السيرة 
الذاتية لهذا المهندس قد تكون مفتوحة لشركات التوظيف الخارجيء ويكون هناك استنزاف 
محتمل لموارد الشركة. 


:T wite تويتر‎ 


كانت المرة الأولى التي سمع فيها العديد في الولايات المتحدة الأمريكية عن تطبيق تويتر 
161 في عام 7١١١‏ وذلك عندما حاول عضو الكونجرس الأمريكيء أنتوني وينر Anthony‏ 
661 إرسال صورة خليعة له على تويتر إلى مساعدته في الحملة الانتخابية» إلا أن الصورة 
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قد أربلت بالغطا إل فة التوزي ابوجو دة ف خسابه عل قو تر زاوها يطلق عليه 
المتابعون 1011017615 بلغة تويتر)». وسرعان ما نشرت الصحافة أن عضو الكونجرس آنذاك 
كان يرسل العديد من الرسائل المشينة الأخرى على حساب تويتر. أجبرت هذه الأحداث 
وينر على الاستقالة. ومن المؤكد أن حماقته قد تسببت في جعل العديد يسمع عن القدرة 
الهائلة لتويتر 

تويتر هو خدمة مجانية تسمح لأي شخص أن يقول تقريباً أي شيء لأي شخص آخر ما 
دامت رسالته لم تتجاوز ١4٠‏ حرفا فهو نظام يخاطب مستخدمه "ما الذي تقوم به الآن" 
ويتخلل ذلك تواصل اجتماعي على الإنترنت. واستناداً إلى شعاره الذي هثله الطائر الأزرق» 
فإن تويتر هكن مستخدميه من إرسال وقراءة تلك المنشورات التي تعتمد على النص أو 
الرسائل القصيرةء المعروفه بشكل غير رسمي باسم "تغريدات ء٤٥1۷"‏ والتي ترسل في كثير 
من الأحيان من خلال الهاتف المحمولء إما عن طريق الرسائل النصية أو التطبيقات التي تم 
إصدارها لبعض الهواتف الذكية. وبوجود كل هذه التطبيقات الخاصة بالرسائلء فإن تويتر 
يعد واحداً من المواقع العشر الأولى الأكثر زيارة في جميع أنحاء العالم. ويشير الاستطلاع 
الذي أجرته شركة كومبيت دوت كوم 0 Compete.‏ في شهر فبراير 7٠-4‏ إلى أن تويتر 
يشكل الشبكة الاجتماعية الثالثة الأكثر استخداماً وذلك استناداً إلى إحصائياتهم التي تدل 
على وجود ستة ملايين زائر جديد في الشهر وخمسة وخمسين مليون زيارة تتم على تويتر 
شهرياً. وللمساعدة في شرح المصطلحات والمفاهيم الخاصة بتويتر. فإن الشكل التوضيحي 
(۲-۲۱) يسرد البعض منها. وقد يلاحظ العديد من كبار المديرين استخدام موظفيهم لهذه 
المصطلحات أثناء قيامهم بإرسال تغريداتهم للآخرين. 
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شكل توضيحي )7-71١(‏ 
المصطلحات وال مفاهيم الخاصة بتطبيق تويتر 

٠‏ تغريدة :1W۲‏ عندما تنشر أو تكتب ١6٠‏ حرفا عان فود وفقو رال فهى تعد تغريدة أو 
تويتينغ 18 1†ءwe].‏ 

٠‏ تسجيل حساب مال« ة1: عبارة عن اسم اللمستخدم على تويتر في شكل عم011©]]8©. اسم 
شخصي قصير مشابهة ل 0۸1. 

٠‏ متابعة *801107: هذا هو الإجراء الخاص بإضافة شخص ما إلى قائمة الأشخاص الذين تتابعهم 
مما يجعل تغريداتهم تظهر على الصفحة الرئيسية الخاصة بك. 

- الردود s#نامه۸: وهذا يحدث عندما يكتب شخص ما تغريدة مباشرة على حساب ا مستخدم‎ ٠ 
م10ء01© أي ثرثرة في منشور هادئ - وأيضا في كثير من الأحيان يكون دعوة للتواصل مع متابع آخر.‎ 

٠‏ إعادة التغريد #٠س†٠۸:‏ يعد هذا اللو لإعادة نشر تغريدة شخص آخرء وتبقى التغريدة 
الأصلية بجانب حساب المؤلف سليمة دون تغييرء ولكنك في الأماس تُظهر تغريدة شخص ما إلى 
الأتباع» والعديد يستخدم هذا لإضافة محتوى ومعرفة المواد من الأشخاص الذين يتبعونه. 

٠‏ الرسالة المباشرة 224: هذا المصطلح عبارة عن رسالة يتم إرسالها مباشرة إلى مستخدم آخر. 
يجب أن يكون هذا الشخص متابعا لك لتتمكن من إرسال رسالة مباشرة له أو لها. وهذه تعد أداة 
مقيدة عند للرساكل اللخاضة, 

٠‏ الوسم (هاشتاج) 51250]38: وهي طريقة يستخدمها الأشخاص لتصنيف التغريدات على سبيل 
المثال قد يستخدم الآخرون العلامة نفسهاء ومن ثم تكون وسيلة فعالة للناس لعرض تغريدات ذات الصلة. 

على الرغم من القدرات الهائلة لتويتر على متابعة وحمل سيل كبير من الرسائل المتعلقة 
بمجموعة كبيرة من الأشخاص والموضوعات. فإن مستخدم تويتر وأحياناً الموظف قد يقضي 
الكثير من الوقت في قراءة وإرسال هذه التغريدات. على سبيل ال مثال» قامت شركة بير أناليتكس 
)۶e4 Anyi c(‏ المعنية باستطلاع أوضاع السوق التي يقع مقرها في سان أنطونيو بولاية 
تكساس الأمريكيةء بتحليل ٠٠٠١‏ تغريدة (منشؤها الولايات المتحدة وباللغة الإنجليزية) على 
مدى أسبوعين في أغسطس 7٠٠١4‏ وتم تصنيف الرسائل إلى الفئات الست التالية©: 

-١‏ ثرثرة عديمة الجدوى - 50 في المئة 

۲- محادثة - ۳۸ في اممئة 

- قيمة تمرير الرسائل - ٩‏ في المئة 





1۸ دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


تأثير حوسبة وسائل التواصل الاجتماعي 


-٤‏ الترويج الذاتي - 5 في المئة 


0- الرسائل غير المرغوب فيها - 6 في المئة 
-١‏ أخبار - 6 في المئة 


تشير هذه النتائج إلى أن تويتر يحتوي غالبا على الكثير من "الثرثرة العديمة الجدوى", وهو 
البند الأول في القائمة أعلاه. ولعل الميزة هنا هي أن هذه الرسائل تسمح للمغردين عبر تويتر 
أن يعرفوا الناس من حولهم فيم يفكرون وماذا يفعلون وبم يشعرون؟ في جميع الأحوالء 
فإن العديد من هذه التغريدات يشبه إلى حد ما جلسات الحوار التي كانت تتم بين موظفي 
الشركة أثناء تجمعهم بالقرب من مبرد الماء”2 في الماضي. كان المدير المخضرم في ذلك الوقت 
يرفض أو يحد من مثل هذه النشاطات الخاصة بالدردشة حول مبرد المياه. لذا لا بد من 
عمل محاولات مشابهة للحد من استخدام الموظفين لوسائل التواصل الاجتماعي أثناء العمل. 
سواء نظرنا إلى مثال عضو الكونجرس السابق الفاسد وينر 111261 الذي سبق الحديث 
عنه أو إلى أي من الأمثلة الحالية العديدة الأخرىء فإن تويتر يعد أداة قوية يمكن أن تشكل 
مخاطر على المؤسسة إذا ما تم استخدامها بشكل غير لائق. فكما تحدثنا للتو عن أهمية مدونة 
قواعد السلوك المهني للمؤسسة في الفصل العشرين من هذا الكتاب» والحاجة إلى إقرار بأن 
جميع أصحاب المصلحة ا معنيين بها قد قاموا بقراءة وفهم المدونة ووافقوا على الالتزام بهاء فإنه 
يجب على المؤسسة أن تُطلق سياسة مماثلة لتطبيقات وسائل التواصل الاجتماعي مثل تويتر. 
الشكل التوضيحي )١-۲١(‏ عبارة عن مثال لسياسة المؤسسة المتعلقة باستخدام الموظف 
لتويتر. وذلك باستخدام العينة الخاصة بنا للشركة العاممية لمنتجات الحاسب. ويمكن تنفيذ 
سياسات مماثلة لفيسبوك وغيرها من تطبيقات وسائط التواصل الاجتماعي» أو هكن صياغة 
السياسة بطريقة تتضمن تطبيقات وسائل التواصل الاجتماعي في المؤسسة؛ ويتجلى جوهر 
ذلك في أن مثل هذه السياسات يجب أن تُطلق بطريقة تجعل من جميع الموظفين وأصحاب 
المصلحة الآخرين يكونون على فهم للمقاصد والمخاطر المحتملة من أي من هذه التطبيقات 
الخاصة بوسائل التواصل الاجتماعي. 
(*) تعني الدردشة العارضة بين مجموعة من عمال الشركة الذين لا يكونون على اتصال مباشر أثناء العمل ويلتقون 
في استراحة قصيرة عند مبرد الماء للشرب ويمكن تسميتها في هذه الأيام ب "دردشة التدخين". (المترجم). 
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الفصل الحادي والعشرون 


شكل توضيحي )۳-۴1( 
عينة لسياسة الاستخدام الخاصة بتويتر 
الغرض: تصف هذه الوثيقة استخدام حسابات تويتر الشخصية خلال يوم العمل للموظف. 
وهي لا تنطبق على حسابات تويتر الخاصة بالشركة. 
نظرة عامة: تدرك الشركة أن الشبكات الاجتماعية وأدوات التواصل الاجتماعي الخاصة بالموظف 
تقدم قيمة ما للشركة. ونتيجة لذلك» فقد وضعنا سياسة تسمح بمساحة صغيرة من استخدام تويتر 
أثناء العمل طابما تم العمل ببعض المبادئ التوجيهية. إذا اغتبرت المبادئ التوجيهية الواردة في هذه 
السياسة غير مقبولة» فإنه من ثم يُعْتَبر استخدام الموظف لتويتر أثناء العمل أيضا غير مقبول. 
تقدم هذه الوثيقة مجموعتين من المبادئ التوجيهية. المجموعة الأولى هي التي تنطبق على 

كل استخدام لتويتر يخص الأنشطة المتعلقة الشركة سواء في أوقات العمل آم في الأوقات الشخصية. 

المجموعة الثانية هي التي تنطبق على أولئك الذين يرغبون في استخدام تويتر أثناء العمل واستخدام 

حساباتهم للمساعدة في الترويج للشركة. 
المبادئ التوجيهية لاستخدم تويتر في الشركة العالمية لمنتجات الحاسب: 

.١‏ عدم الإفصاح عن المعلومات السرية أو الخاصة على حساب تويتر الخاص بك. الإفصاح عن 
المعلومات التنافسية أو الأسرار التجارية يكون سببا كافيا لإنهاء الخدمة. 

. تحمل مسؤولية ما تكتب. تذكر أن "إمكانية" أن تقول شيئاً ما لا تعني "إجبارك" على أن تقوله. 
الكلمات المكتوبة تكون أكثر صعوبة في التفسير من التفاعل اللفظي. تذكر أن ما تقوله سوف 
يكون بسجل دائم. كن حذرا. كن ذكيا. 

. كن صادقاً واستخدم الإفصاح الكامل. إذا كنت تتحدث عن أحد منتجات الشركة أو منتج هلكه 
الطرف اممنافس» فمن مصلحتك أن تفصح أنك تعمل لصالح الشركة. 

.٤‏ احترم حقوق التأليف والنشر. لا ترسل النص أو الصور أو الفيديو الذي تم إنشاؤه من قبل شخص 
آخر دون الإسناد الصحيح. إذا كان لديك أسئلة حول قانون حقوق التأليف و/ أو استخدام بعض 
وسائل الإعلامء اتصل بالقسم القانوني. 

۵. تويتر ليست بديلاً للاتصالات داخل الشركة. فيجب أن تنتقل المعلومات الهامة من خلال قنوات 
الاتصال الطبيعية للشركة. وليس من خلال تويتر. 

1. تويتر ليس بديلاً لخدمة العملاء. رجاء قم بتوجيه العملاء إلى قسم خدمة العملاء بدلاً من 
التعامل مع الاستفسارات بشكل كلي من خلال تويتر. 

۷ كن واضحاً أنك لست الناطق الرسمي للشركة وأن وجهات نظرك لا تعكس بالضرورة وجهة نظر الشركة. 
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تأثير حوسبة وسائل التواصل الاجتماعي 


المبادئ التوجيهية لاستخدم تويتر في العمل: 

.١‏ الأمر يقتضي منك القيام بتقديم إما (أ) رابط لوقع الشركة أو (ب) شعار الشركة على صفحة تويتر 
الخاصة بك. 

۲. أنت مطالب بأن تقوم بتنفيذ إحدى معاملات الشركة على حسابها الخاص على تويتر على الأقل 
مرة في الأسبوع. 

۳. يجب أن يكون جزء من تغريداتك ذا صلة بالشركة و/ أو ا مجال الذي تعمل فيه. لا يوجد أي 
شرط يخص نسبة محددة يجب الوفاء بها من التغريدات» ولكن يعتبر >٠١‏ من إجمالي التغريدات 
مستوى مثالياً. 1 


.٤‏ تذكر ضرورة أن تكون منتجاً ذلك أن تويتر يمكن أن يبتلع وقتك ويمكن أن هنعك من إكمال المهام 
الأخرى المتعلقة بالعمل. فاستخدم حكمتك لضمان أن يكون لديك متسع من الوقت لاستكمال 
جميع الأعمال العادية الخاصة بك. 


لقد قرأت هذه السياسة الخاصة بالشركة العامية لمنتجات الحاسب فيما يخص استخدامي لتويترء 
وأنا أفهم إرشادات هذه السياسة» وأوافق على الالتزام بالقواعد والإرشادات الموضحة في هذه السياسة. 





نقاط ضعف حوسبة وسائل التواصل الاجتماعي في المؤسسة ومخاطرها: 

من الممكن أن يكون التساؤل المنطقي الذي يدور بداخل أحد المسؤولين التنفيذيين 
هو "أنا أحد كبار المديرين في المؤسسة. لماذا يجب علي أن أقلق جراء استخدام الموظفين 
وغيرهم من أصحاب المصالح لفيسبوكء وتويتر. وغيرها من أدوات التواصل الاجتماعي في 
بيئة العمل ماداموا ينجزون المهام الخاصة بهم؟ "هذا النوع من الأسئلة الذي يطرحه 
العديد من كبار المديرين عندما لا يدركون في الواقع طبيعة هذه التطبيقات التي تبدو في 
الظاهر أنها تطبيقات شخصية واجتماعية. 

وكثيراً ما تبدو المواقع الخاصة بوسائل التواصل الاجتماعي أنها اجتماعية وخارج إطار 
الرقابة الخاص بمعظم نظم الأعمال وعملياتها واهتماماتها. وكثيراً ما ينظر إليها وكأنها فقط 
عبارة عن وسيلة تسلية للموظفينء مثل الجهود المشتركة التي تقوم بها لجنة التخطيط 
لإقامة حفلة الإجازة السنوية. ومع ذلك فإنه يمكن للقضايا أو المسائل المتعلقة بوسائل 
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الفصل الحادي والعشرون 


التواصل الاجتماعي أن تذهب إلى ما هو أبعد من مجرد أن تكون عبارة عن رسائل اجتماعية 
ودية» كاحتمالية أن يرى أشخاص آخرون هذه الرسائل وأن يبادروا باتخاذ إجراءات معينة 
تستند إلى هذه الرسائل وال معلومات المتبادلة. 

لقد أبرزت المقالة الأخيرة في صحيفة شيكاغو تريبيون عناط21آ' مع0112 كيف 
أن دردشة الموظف على فيسبوك يمكن أن تتسبب في مشاكل للمؤسسة. فقد تحدث 
الموظفون لدى تاجر سيارات باستخفاف فيما بينهم على الفيسبوك عن الطريقة التي يمكن 
أن يستخدمها صاحب العمل لكي يتجاهل قوانين العمل في الولايات المتحدة”". وقد تم 
تمرير الرسائل التي كان من المفترض أن تكون خاصة بهم في نهاية المطاف إلى سلطات قانون 
العمل في الولايات المتحدة, الأمر الذي أدى إلى اتخاذ الإجراءات القانونية ضد صاحب 
العمل. إن الرسائل المرسلة من خلال نظم وسائل التواصل الاجتماعي تحمل بعض المخاطر! 

يُنظر أحياناً إلى نظم التواصل الاجتماعي على أنها إحدى اللوارد الخاصة بابلوارد البشرية, 
وأنها إحدى النشرات غير الرسمية للشركة. ومع ذلكء فإن المؤسسة تواجه العديد من 
المخاطر المتعلقة بنظم وسائل التواصل الاجتماعيء والتي قد تتضمن فقدان السمعة 
وخسارة المكانة المرموقة والتعرض للمساءلة القانونيةء وذلك عندما يقوم الموظفون بإفشاء 
الأسرار ونشر الصور والفيديوهات المتعلقة بالأمور التي يجب أن لا يفعلوها. هناك أيضاً 
مخاطر أمنية على الحاسبات الآلية من البرمجيات الخبيثةء وسرقة الهويةء وذلك من خلال 
ما يسمى التصيد الاحتيالي 15111218:!م؛ وخرق خصوصية البيانات الحساسة التي تم الحديث 
عنها في الفصل العاشر من هذا الكتاب. 

إن المسؤولية عن المخاطر المرتبطة باستخدام الموظف لتطبيقات مثل فيسبوك وتويتر 
وغيرها من وسائل التواصل الاجتماعي تتجاوز حدود إدارة أمن تقنية المعلومات. حيث 
إن المسؤولية الأساسية تقع على عاتق إدارة المؤسسة. حيث يتم تشغيل هذه التطبيقات 
بشكل عام عبر الإنترنت والنظم الخارجية الخاضعة لسيطرة الشركة. 

ترتبط العديد من مخاطر تقنية المعلومات المتعلقة بوسائل التواصل الاجتماعي 
والمخاوف الإدارية بالسلوك الفردي الذي يحدث خارج حدود البنية التحتية للمؤسسة 
ونظم تقنية المعلومات الخاصة بها. في جميع الحالات» فإن نظم وسائل التواصل الاجتماعي 
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تأثير حوسبة وسائل التواصل الاجتماعي 


تحمل في طياتها قضايا تتعلق بالمحتوى وحرية التعبير. وترتبط هذه الممارسات الخاصة 
بوسائل التواصل الاجتماعي بشكل وثيق بالعديد من القضايا التي وردت في الفصل العشرين 
من هذا الكتاب الذي تحدث عن الحاجة إلى وجود ثقافة أخلاقية في أماكن العمل. وهو 
الفصل الذي تحَدث نضا عن فة الرحائل:والسناماث القونة ادا رة مل مرونات 
قواعد السلوك وبيانات المهمة أو الرسالة التي تساعد المؤسسة وأصحاب المصالح فيها على 
التفكير بطريقة صحيحة وإيجابية. في جميع الأحوالء يجب على المؤسسة أن تكون على 

علم ببعض المخاطر والمخاوف المتعلقة بوسائل التواصل الاجتماعي التالية: 

٠‏ القضايا المتعلقة بإنتاجية الموظف: رما تميل هذه القضايا بشكل أكبر نحو الجانب 
الإداري من حيث تحديد أهداف الموظفين ومسئولياتهم» وإن كان الموظفون على مختلف 
مستوياتهم يقومون أحياناً بقضاء وقت طويل في إرسال الملاحظات والصور لأصدقائهم, 
سواء كانوا من داخل الشركة أم خارجهاء وسواء عبر تويتر أم عبر فيسبوك أو بعض تطبيقات 
وسائل التواصل الاجتماعي الأخرى. ففي بعض النواحي. قد لا يختلف هذا كثيراً عن 
الأشخاض الذين يقضون أوقاتاً طويلة غل المكاطاث الهاتفية الشخضية: إلا أنة من الضعب 
القيام بمراقبة وكشف هذا النوع من الأنشطة الخاص بوسائل التواصل الاجتماعي. 

٠‏ نقص الرقابة المفروضة على المحتوى المؤسسي: قد يقوم الموظفون وأصحاب المصلحة 
بشكل مقصود أو غير مقصود بنشر معلومات خاطئة أو غير لائقة على مواقع وسائل 
التواصل الاجتماعي. هذا النوع من المعلومات هكن أن ينقل إلى العديد من الأشخاص 
الآخرين من خلال الطبيعة التتابعية للعديد من أدوات وسائل التواصل الاجتماعي. 
فبمجرد أن تبدأ ا معلومات المغلوطة في النشرء فإنه يكون من الصعب إيقافها. 

٠‏ عدم الامتثال للوائح التنظيمية الخاصة بإدارة السجلات: على الرغم من حقوق التأليف 
والنشر وقواعد حماية البيانات» فإنه من السهل جدا بالنسبة لأصحاب المصلحة أن يقوموا 
بنسخ وإرسال الوثائق المحمية عبر أنظمة وسائل التواصل الاجتماعي. وفي حال تم إرسال 
هذه السجلات بشكل غير صحيح أو غير قانوني فإن الؤسسة ستتعرض للمخاطر. 

٠‏ الفيروسات وبرامج التجسس: يوجد هناك العديد من الحوادث المسجلة التي تم فيها 
استخدام وسائل التواصل الاجتماعي أو مواقع الشبكات ذات الصلة لنشر البرمجيات 
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الخبيثة كالفيروسات"» ومن المؤكد أن نظم التواصل الاجتماعي ليست الوسيلة الوحيدة 
المستخدمة في هذا الصدد. ومع ذلكء فإن مواقع الشبكات الاجتماعية على أرض الواقع 
رها لا تشكل تهديداً أكثر من الذي يشكله أي نوع آخر من مواقع شبكة الإنترنت. 

822011041 مشاكل عرض النطاق الترددي: كانت مسألة عرض النطاق الترددي للبيانات‎ ٠ 
تفوق بكثير أي مسألة أخرى في الأيام الأولى لظهور الاتصالات والإنترنت» فهو مصطلح‎ 
يشير إلى "حجم القناة" أو كمية البيانات المنقولة عبر خطوط الاتصالات. إن إرسال‎ 
الناس لكميات كبيرة من الصور الرقمية أو غيرها من المواد التي تعتبر إلى حد ما كبيرة‎ 
الحجم قد تؤدي إلى اختناق النظام. وعلى الرغم من أن هذا الأمر لا يعد معضلة كبيرة‎ 
بالنسبة لشبكة الإنترنت» فإنه هكن ممثل هذا النوع من ال مواد الكبيرة الحجم أن تعيق خط‎ 
الاتصالات ممؤسسة صغيرة ويؤدي إلى انسداده.‎ 

٠‏ القضايا الأمنية للمؤسسة: هناك العديد من الثغرات في هذا المجال. حيث يمكن أن 
يستخدم الجاني مثلاً الهاتف الخليوي للقيام بالتقاط صورة لإحدى الوثائق السرية أو 
المنتجات أو المرافق الموجودةء ويقوم بعد ذلك بكل سهولة ويسر بإرسال هذه المواد التي 
التقطها إلى شخص أو أكثر بواسطة أداة مثل فيسبوك من خلال بضع ضربات أو ضغطات 
سريعة على لوحة ال مفاتيح. ولذلك فإن هناك حاجة إلى ضوابط مادية وبيانات جيدة 
تخص سياسة التبليغ وبيئة أخلاقية قوية للمؤسسة. 

٠‏ قضايا المسؤولية في وسائل التواصل الاجتماعي: يمكن أن تتحمل المؤسسة المسؤولية عن 
الرسائل التي تُرسل بواسطة أحد الموظفين خلال الوقت المخصص للعمل في المؤسسة» وذلك 
بالنسبة للمنشورات التي تتم بواسطة موارد تقنية المعلومات المؤسسية. وعلى الرغم من 
أن القانون حقيقة لا يزال غير واضح حتى الآنء فإنه وجد أن الأفراد هم المسئولون عن 
إرسال الرسائل التي تتظلب مزيداً من الحذر إلى مواقع الشبكات الاجتماعية. لذا يجب 
على المؤسسة ووحدات الأعمال توخي الحذر في مثل هذه الحالات» فهي بالتأكيد تشكل 
مخاطر يجب أخذها بالحسبان. 

ولأن استخدامنا لأدوات التواصل الاجتماعي في ازدياد. فإنه لا يمكننا سوى أن نتوقع 
استمرار هذا التوجه أو التيار. ولأن معظم أصحاب المصلحة في المؤسسة لديهم أجهزة 
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هاتف ذكي خاصة:؛ فضلاً عن اتصالات الإنترنت الموجودة في منازلهم: فإن جميع هؤلاء 
الأتتخاص فوا يستطيعون الوصول إلى المواقع الخاصة بوسائل التواصل الاجتماعي. 
البعض من هؤلاء يقوم باستخدام هذه الأدوات بشكل مكثفء ومن الممكن أن تصبح 
الحدود الفاصلة بين الأنشطة الشخصية والنظم المكتبية ضبابية. وفي حال قامت ا مؤسسة 
بفرض سياسة منع استخدام وسائل التواصل الاجتماعي أثناء ساعات العملء فإنها بذلك 
تكون وكأنها تنظر إلى الموضوع عبر نظارة وردية. ونحن بشكل عام لا نعمل في المؤسسات 
فقط من الساعة التاسعة صباحاً إلى الساعة الخامسة مساء مثلا؛ بل نحن منخرطون في 
الأنشطة الخاصة بالأعمال أثناء وجودنا في ا منزل وأثناء سفرنا كذلك. ومن ثم لا يمكننا في 
مثل هذه الحالة أن نضع حدوداً فاصلة. 

كما أن استخدام أدوات التواصل الاجتماعي في أنشطة الأعمال ينمو أيضاً. كما تحدثنا 
منذ قليل عن أداة الاقتراع الخاصة بتطبيق لينكدإنء والتي هكن اعتبارها نظاماً شائع 
الاستخدام في أماكن العمل. وسنرى على نحو متزايد مدى تقارب وترابط الخطوط الفاصلة 
بين استخدام وسائل التواصل الاجتماعي في الأمور الشخصية أولاً وبين استخدامها في الأنشطة 
المتعلقة بالأعمال. إن السبيل الوحيد للحد من ا مخاطر والحصول على فهم أفضل لحوكمة 
تقنية ا معلومات الخاصة باستخدام أدوات التواصل الاجتماعي في أماكن العمل هو إيجاد 
سياسات:تتحلق بالاستخدام الفعال لهذه الأدؤات وتبليغها بصورة جيدة إلى جميخ أصحاب 
للفبلحة"ف امكان/ العمل :ذال المؤسبة: 


سياسات وسائل التواصل الاجتماعي: 

تحتاج المنشأة إلى وضع ممارسات تثقيفية توضح ما يجب الأخذ به وما يجب تركة من 
النظم المختلفة لوسائل التواصل الاجتماعي» هذا إلى جانب وضع سياسات محددة خاصة 
باستخدام أصحاب المصالح لتلك الأدوات. ويجب أن تكون السياسات المتعلقة باستخدام 
وسائل التواصل الاجتماعي عبارة عن مجموعة فرعية من سياسات الشركة تماماً كمدونات 
قواعد السلوكء وكذلك سياسات الأمن والخصوصية لتقنية المعلومات التي يتم إيصالها 
لجميع الموظفين وأصحاب المصلحة. فلننظر على سبيل المثال إلى ما تم الحديث عنه بمزيد 
من التفصيل في الفصل العشرين من هذا الكتاب» حيث يتعين على المؤسسة وضع سياسة 
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محددة لوسائل التواصل الاجتماعي لأصحاب المصلحة بشكل عام والتي تحدد سياسات 
الشركة على مستوى عال جداً بأسلوب يسهل فهمه. كما يجب أن يتم تنقيح المدونة 
وتحديثها بانتظام وينبغي أن يُطلب من جميع أصحاب المصلحة بأن يؤكدوا أنهم قد قاموا 
بقراءة المدونة وفهموها ووافقوا على الالتزام بها. إن تنفيذ مثل هذه المدونة لقواعد 
السلوك يعد أمراً هاما بالنسبة للممارسات القوية والفعالة لحوكمة لتقنية ا معلومات في 
المؤسسة. الشكل التوضيحي )١-١١(‏ مثال على السياسة العامة لوسائل التواصل الاجتماعي 
في المؤسسة والتي من شأنها أن تكون مصممة لتنطبق على جميع أصحاب المصلحة الذين 
يستخدمون تطبيقات وسائل التواصل الاجتماعي في تة زدء امن اللوظفين: ووقصولة 
إلى الإدارة العلياء ويمكن تطبيق هذه السياسة على جميع التطبيقات الخاصة بوسائل 
التواصل الاجتماعي التي قد تؤثر في ا مؤسسةء سواء كان ذلك من خلال إحدى المبادرات أو 
التطبيقات المعتمدة على النظام والقائمة على المؤسسة أم من خلال استخدام أحد الأجهزة 
الشخصية. 


شكل توضيحي )6-8١(‏ 
سياسة وسائل التواصل الاجتماعي في المؤسسة 
فطق هذه السياسة على < جميع أدوات التواصل الاجتماعي» وتستخدم داخل العمل وخارجه. 
بالنسبة لعمليات تشغيل الأعمال في المؤسسة. بالإضافة إلى الإرشادات الأكثر تعديناً التي تم مناقشتها 


أدناه. يجب على أي شخص يستخدم أدوات وسائل التواصل الاجتماعي في الأعمال الشخصية أو 
التجارية ما يلي: 


« تعامل مع الآخرين كما تحب أن تُعامل. 


© أضف قيمة لعملائفه وضناعتك وعملك: 

٠‏ اتسم بالاحترام والمهنية واللطف. 

٠‏ قدم الرؤية, والخبرةء والدراسة ذات الصلة. 

٠‏ تواصل أخلاقياً ومعنوياً في دعم أهدافك المهنية. 

وبالإضافة إلى ذلك يتعين على جميع أصحاب المصلحة في المؤسسة إبقاء المبادئ التالية في الاعتبار: 
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فكر قبل أن تنشر: 

ضع في الاعتبار أن معظم منصات الحوس بة الاجتماعية على الإنترنت مثل الأسواق العامةء ما يتم 
غرضه هناك يكوق متاجا ويراة الجميع. عل المنصات الإجتماعيةة دقو نحدوة المعلومات المهنية 
والشخصية دائماً غير واضحة. في هذه الأيام التي تتميز بتحويل سياسات الخصوصية والفهرسة القوية 
بلحرك البحثء لا يمكنك أن تكون دائماً على يقين مما يتم مشاركته أو ما تم الاطلاع عليه أو ما تمت 
أرشفته. لاحظ أن ما تنشره على الإنترنت سوف يكون عام لفترة طويلة جداً. ما قمت بنشره سينعكس 
عليك» لذلك التزم الطريقة التي ترغب في أن تظهر بها أمام الشركة والأصدقاء. والعائلةء والزملاء» 
والعملاء. إذا كنت غير متأكد من أن محتوى معيناً مناسب للشاركته عبر الإنترنت» فلا تنشره. لأن 
تكون آمناً أفضل لك من الاعتذار. 


امسؤولية: 
نك ممؤول حا عن ماك اعلق بخص التظرعق مكان خودت ما دمت مووا غا 


شبكة الإنترنت. رجاء تذكر أنك عندما تشارك في وسائل التواصل الاجتماعي» فإنك تتحدث كفرد وليس 
نيابة عن الشركة. عرف نفسك دايا باستخدام صيغة الإفراد لضمير المتكلم. 

عندما تناقش معلومات تتعلق بالشركة على شبكة الإنترنت» تحلّ بالشفافية من خلال إعطاء 
اسمك ودورك واذكر أنك تعمل لصالح الشركة. إذا كان لديك موقع فردي يشير إلى الشركة أو له 
تأثير فيهاء فاستخدام إخلاء المسؤولية مثل "إن الآراء الواردة في هذا الموقع تخصني ولا تخص [اسم 
الشركة]." 

أينما يسمح به القانون المعمول به فاعلم أن الشركة تحتفظ بالحق في مراقبة استخدام المنصات 
الاجتماعية واتخاذ الإجراءات المناسبة للحماية ضد إساءة الاستخدام التي يمكن أن تكون ضارة بسمعة 
الشركة. 

أن تقوم بإنشاء حساب للشركة أو أن تصبح الممثل الرسمي الذي يتقاسم المعلومات حول الشركة 
ومجالات عملناء يتطلب موافقة من المستوى المناسب من الإدارة. هذه الحسابات فقط قد تعرض 
شعار الشركة. 
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السلوك: 

يجب أن يكون سلوكك على الإنترقت متفقا مع مدونة أخلاقيات العمل. 

لديك فرصة للمساعدة على إظهار سمعة الشركة على الإنترنت. استخدم خبرتك الواسعة لإثراء 
امناقشات» ساعد في حل ال مشاكل» وشاركنا الحماس في بيئة عملناء وشجع التعلم ومشاركة الأفكار. 

تذكر دائماً أن النغمة التي تستخدمها عبر الإنترنت يكن أن تُفَسر بطرق مختلفة من قبل القراء 
نظراً لعدم وجود تواصل شفهي أو اختلافات ثقافية. وقد لا يكون بعض المشاركين على دراية 
بالاختصارات والوجوه التعبيرية والرموز الشائعة الأخرى ا مستخدمة في الاتصال عبر الإنترنت. تذكر 
أيضاً أن التعليقات تُتَْرَعِ من سياقها غالبا لذلك تمسك والتزم بالحقائق. 


الثقة هي العنصر الرئيسي في بناء علاقات عبر الإنترنت. بناء الثقة عن طريق الحفاظ على لهجة 
محترمة: حتى عندما تختلف مع الآخرين» ومن خلال ردك على التعليقات في الوقت المناسب أو في 
حينها. إذا كنت تدرك أنك قد أخطأت. حاول أن تصحح ذلك على الفور. 

لا تشارك في أي سلوك على الإنترنت من شأنه ألا يكون مقبولا في مكان عملك أو غير قانوني. على 
سبيل اللثالء لا تدل بتصريحات مهينة أو تستأسد أو ترهب أو تضايق مستخدمين آخرين أو تسبهم 


أو تنشر محتوى يحض على الكراهية أو القذف أو التهديد أو التمييزء أو الإباحية. 


السرية: 

قم ذائم] بحماية اللغلومات:السرية وغرها من المعلوماث اللتغلقة بالملكية والخاضة يشركتنا 
وعملاءنا وموردينا. لا تضع أي محتوى على الإنترنت لا ترغب في مشاركته مع صحفي أو عميل أو 
محلل أو منافس. 

تأكد من أن أي إشارة إلى معلومات تجارية وعملاء وموردين لا تنتهك أي التزامات عدم إفصاح. 
زاء تذكر أيضاً العزامات الشرية الخاضة نيك موجب:اتفاقنة العمل الخاض بنك 

لا تفصح عن معلومات عن الزملاء أو غيرهم من الأشخاص» أو تسن استخدام بياناتهم الشخصية» 
أو تنشر صورهم دون إذن منهم. 

استخدم دائماً الحكمة في التعامل مع المعلومات التي من الممكن أن تكون حساسة. لا تستخدم 
منصات الحوسبة الاجتماعية لتبادل المعلومات ذات الطابع السري للشركة أو العملاء أو ا موردينء ما لم 
يتم إيقاف عملية الحصول على مثل هذا النوع من ا معلومات وتم إزالة المحتوى من ال منصة لمستويات 
أمنية مناسبة. المواقع العامة ليست المواقع المناسبة للاتصال الداخلي مع موظفي الشركة الآخرين. 





E۸‏ دليل المستول التنفيذي لحوكمة تقنية ا معلومات 
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حقوق الطبع والنشر: 

امتثل للقوانين واللوائح» وعلى الأخص بالقوانين التي تحكم حقوق الملكية الفكرية. متضمناً ذلك 
حقوق الطبع والنشر والعلامات التجارية. يجب ألا تنشر محتوى أو تتخذ أي إجراء يخالف القانون 
أو ينتهك حقوق الشركة أو حقوق الملكية الفكرية لأي طرف ثالث. 


أفكار أخيرة: 

استخدام منصات الحوسبة الاجتماعية وفقاً لهذه السياسة هكن أن يكون أداة اتصال فعالة وقوية 
جداً. كونوا فخورين بما تعملون وتمتعوا بالشعور بالإنجاز في البحث عن أفضل جودة وكفاءة أكبر. 
قبل كل شيء» رجاء استخدم حكمتك وانتبه للآخرين وتحمل عناء الاستماع وإيضاح فكرك بشكل 
مفهموم. 





اعتماداً على مستوى الاستخدام في المؤسسة: فإنه هكن إطلاق سياسات مماثلة لفيسبوك» 
وغيرها من وسائل التواصل الاجتماعي. وعلى الرغم من أنه يمكن صياغة سياسة عامة 
لكافة تطبيقات وسائل التواصل الاجتماعي للمؤسسة: فإنه يفضل عادة وضع بيانات سياسة 
محددة لكل تطبيق» مثل تويتر وفيسبوك. والفكرة هي إيصال الرسالة لجميع أصحاب 
المصلحة وهي أن استخدامهم لمختلف تطبيقات وسائل التواصل الاجتماعي في أماكن 
العمل يحمل بعض المخاطر والفرص بالنسبة للمؤسسة ولمساراتهم الوظيفية. 

إن تطبيقات وسائل التواصل الاجتماعى تثير بعض القضايا القوية الخاصة بحوكمة 
تقنية المعلومات ف المؤسسات هذه الأيام. وعلى الرغم من أننا ركزنا في هذا الفصل 
على تطبيقات فيسبوك وتويتر ولينكدإن التي رها تكون الأكثر استخداماً هذه الأيام, فإن 
هذا لا يضمن أن تبقى تلك التطبيقات هي الأبرز خلال السنوات القليلة القادمة. وفي 

جميع الأحوالء تمثل المفاهيم الخاصة بتلك التطبيقات ا ثاماً في طريقة تطوير ومعالجة 
البيانات والتي من شبه المؤكد أنها لن تتغير. على الرغم من أن كبار المديرين قد ينظرون 
إلى هذه التطبيقات كما لو كانت عبارة عن أدوات لأطفالهم في المنزل أو في المدرسة. أو 
للموظفين الشباب في الكادر الوظيفي» فإنه يجب على كل واحد من كبار المديرين أن يصبح 
لديه ولو على الأقل مستوى فهم بسيط بهذه الأدوات من أجل فهم أفضل لهم والتواصل 
مع الآخرين في المؤسسة. 
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۷. سوف يعرض البحث في جوجل العديد من الحوادث المبلغ عنها في هذا الصدد. وللاطلاع على إحدى 
ت بحل واكك انط 


"http://socialsmarty.com/small-business/should-social-networks-be-banned-at- 


the-workplace/." 
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حوكمة تقنية المعلومات ودور لجنة تدقيق تقنية المعلومات 


تناولت الفصول السابقة العديد من الجوانب والعمليات اللازمة لفهم وتحسين حوكمة 
تقنية المعلومات في المؤوسسة. وقد كان جميع ما تناولناه من تعليقات وتدابير مقترحة 
خاصة بحوكمة تقنية المعلومات موجهاً إلى جميع مؤسسات الأعمال على اختلاف أنواعها 
وأحجامهاء على الرغم من أننا ركزنا أكثر على الشركات الكبيرة المتعددة الجنسيات والوحدات 
والتي تتجاوز غالباً الحدود الدولية. إلا أن بعض هذه الممارسات الخاصة بحوكمة تقنية 
المعلومات قد يكون أيضاً مكلفاً بالنسبة للمؤسسة الصغيرة, في حين أن البعض الآخر يتطلب 
مساهمات إدارية كبيرة. فعند تنفيذ أي عملية خاصة بحوكمة تقنية المعلومات» ينبغي على 
الإدارة دائماً النظر في التكاليف المترتبة على ذلك ومن ثم وازن بينها وبين المنافع العائدة. 

ويختتم هذا الفصل الأخير بالحديث عن دور لجنة التدقيق التابعة مجلس الإدارة الذي 
يعد اة التفاصرالهاقة عدا بالنسفة للشركة ولج وة فة وهات إإتناافتظراخاليا 
إلى لجنة التدقيق فقط من ناحية الدور الذي تلعبه في مهام الإشراف والتدقيق الداخلي 
فضلاً عن قيامها بتنسيق أنشطة التدقيق الخارجي. حيث إن لجنة التدقيق هي التي 
تقوم بتحديد نظام أو أسلوب العمل بالنسبة للعديد من الأنشطة الخاصة بحوكمة تقنية 
المعلومات. وسيقوم هذا الفصل بعرض الدور الذي تلعبه لجنة التدقيق من أجل وضع نظام 
أو أسلوب العمل المتبع ممراجعة الأنشطة الخاصة بحوكمة تقنية المعلومات في اممؤسسة. 


لجنة التدقيق التابعة للمؤسسة وحوكمة تقنية المعلومات: 
تدار الشركات العامة من قبل مجالس الإدارة المنتخبين من قبل المساهمينء والمسؤولة 
عن الأنشطة الرئيسية للإدارة. ومن الممكن أن يكون أعضاء مجلس الإدارة المنتخبين في 
بعض الأحيان جزءاً من الكادر الإداريء أو أن يكونوا مديرين مستقلين لا تربطهم بالشركة 
أية علاقات مباشرة. وتعد لجنة التدقيق أحد المكونات الرئيسية 5 مجلس إدارة الشركة. 
فهي المسؤولة عن مَرَاقبَة الضوايظ الداخلية والتقارير المالية: وتظرا لهذه المسؤولية الرقانية 
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الفصل الثاني والعشرون 


ومتطلبات قانون ساربينز أوكسلي (×50)» فإنه يجب أن يكون أعضاء لجنة التدقيق 
مديرين مستقلين لا تربطهم أي علاقة بإدارة المؤسسة. لا يوجد أي قيود مفروضة على 
حجم اللجنةء إلا أن المجلس المكتمل المكون من ١١‏ إلى ١١‏ عضواً يمتلك غالباً لجنة تدقيق 
مكونة من © إلى ٦‏ أعضاء. ومن الممكن أن تقوم لجنة التدقيق بدعوة أعضاء من الإدارة 
أو غيرهم لحضور اجتماعات اللجنة وحتى المشاركة في مداولاتها ونقاشاتها. ومع ذلك لا 
يمكن للضيوف الخارجيين أن يكونوا أعضاء يتمتعون بحق التصويت بالكامل» وذلك موجب 
قواعد قانون ساربينز أوكسلي ×50. إن مجلس إدارة المؤسسة هو الكيان الرسمي الذي 
يمنح مسؤولية الحوكمة الشاملة لمالكي ومستثمري ومقرضي المؤسسة. وقد يتحمل جميع 
عضاء مجلس الإدارة المسؤولية القانونية عن أفعالهم التي يتخذونها حيال أي قضية. ويقوم 
ا مجلس ولجانه باعتماد معظم الأعمال الرسمية من خلال إصدار قرارات تصبح بدورها 
مواد ثابتة في سجل المؤسسة. 

وكما هو واضح هناء قد تكون مجالس إدارات الشركات مكونة مما يعرف بالمديرين 
الداخليين أو الخارجيين. فالمديرون الداخليون هم الأعضاء المنتظمون في الإدارة والذين 
يقومون أيضاً بالخدمة في مجلس الإدارة. مثل. الرؤساء التنفيذيين 805 وا مديرين 
الماليين 0808 والذين يلعبون أدواراً مزدوجة من خلال الإدارة التنفيذية مهام العمل, ثم 
بعد ذلك الإشراف على العمليات التشغيلية للإدارة نفسها من خلال وجودهم في مجلس 
الإدارة. وباعتبارهم من كبار المديرين التنفيذيين في المؤسسة. فإنه يتعين عليهم امتلاك 
معرفة واسعة عن شركتهم. إلا أن تلك ا معرفة لا تصب دائماً في مصلحة ان و 
المساهمون والمستثمرون المستقلون. الأمر الذي أدى إلى ظهور انتقادات تصف المديرين 
الداخلين في بعض الأحيان بأنهم كالثعالب التي تحرس أقفاص الدجاج. 

فا مدير الخارجيء أو ما يسمى غالباً بالمدير المستقل. هو الشخص الذي ليس لديه 
أي ارتباط مباشر بالعمليات التشغيلية اليومية للشركة. ولا يتقاضى أية رواتب أو أجور 
من الشركة جراء مشاركته في اجتماع مجلس الإدارة: يسافر المديرون المستقلون عادة 
إلى المدينة لحضور اجتماعات مجلس الإدارة» إذ إنهم لا يملكون مكاتب دائمة في المؤسسة 
وليسوا جزءاً من الكادر الوظيفي الخاص بها. حيث يُنظر إليهم على أنهم في وضع أفضل 
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حوكمة تقنية المعلومات ودور لجنة تدقيق تقنية ا معلومات 


لاتخاذ القرارات مثل إغلاق أحد المكاتب» ولا ينظر إليهم على أنهم يتصرفون لخدمة 
مصالحهم الشخصية. 

في السنوات التي سبقت قانون ساربينز أوكسلي 50.: كان للعديد من الشركات 
مجالس إدارة مكونة من مسؤولي الشركة والأصدقاء والمقربين من المدير اماي 01:0. 
وكانت المجموعة الأخيرة (المقربون) في بعض الأحيان غير مؤهلة تماما للعمل في هذه 
المناصب في مجلس الإدارة» وكانوا يتصرفون بموجب تعليمات المدير المالي. وف الواقع 
أصبح الوضع في غاية الصعوبة مع سقوط شركة أنرون وإطلاق قانون ساربينز أوكسلي 
01 بين عامي 7٠7-70-7‏ فقد اكتشفت لجنة الكونجرس الأمريكي التي حققت في 
كار فرك انرون .مق نين لدد من الأمور ای أن مجلس عر ميكل اما وا 
قد استفاد من "عقود الاستشارات" التي مُنحت له من قبل المدير المالي فاا عن وجوه 
نقص واضح في الفهم الشخصي للمعاملات المالية المعقدة الخاصة بشركة أنرون في ذاك 
الوقت. 

لقد فرض القانون التشريعي ساربنز أوكسلي ×80 كما مر معنا في الفصل الثاني من 
هذا الكتاب» سلسلة من المتطلبات الخاصة مجلس الإدارة» والتي جاءت بهدف تحسين 
حوكمة الشركات. كان من بين تلك المتطلبات» أن لجنة التدقيق الآن يجب أن تتكون 
فقط من المديرين الخارجيين؛ الأمر الذي نحها استقلالية تامة عن إدارة الشركة. وأن 
تكونء أو على الأقل ينبغي» أن تكون مؤلفة من مجموعة مؤهلة ومتخصصة من المديرين 
الخارجيين القادرين على فهم ومراقبة وتنسيق وتقييم بيئة الضوابط الداخلية والأنشطة 
ا مالية المتعلقة بالمجلس بأكمله. ولي تتمكن لجنة التدقيق من الوفاء بمسؤولياتها تجاه 
كل من مجلس الإدارة وأصحاب المصالح والجمهورء فإنها بحاجة إلى إنشاء وإدارة وحدة 
خاصة بالتدقيق الداخلي والتي يجب أن تكون عبارة عن مجموعة مستقلة من الآذان 
والعيون في ا مؤسسة» وأن تقوم بتقديم التقييمات المتعلقة بالضوابط الداخلية وغيرها من 
الأمور الأخرى. 

ويعتمد ذلك على بنية أو هيكل الشركةء كالشركات التي تتعامل بالأوراق المالية والمسجلة 
لدى هيئة الأوراق المالية والبورصة الأمريكية» كما تستطيع الشركات الخاصة الأخرى أيضاً 
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الاستفادة من هذه البنية الخاصة بلجنة التدقيق. على سبيل المثال» هناك العديد من المؤسسات 
غير الربحية أو الخاصة التي تكون كبيرة ما يكفي لتمتلك مجلس إدارة رسمياً ووحدة تدقيق 
داخلي رسمية خاصة بها. وعلى الرغم من عدم وجود نص صريح في كل من قواعد قانون 
ساربنز أوكسلي ×50 وهيئة الأوراق المالية والبورصة الأمريكية يُلزم بذلك: فإن هذه المؤسسات 
ستستفيد أيضا من لجنة التذقيق المكونة من مجموعة من المديرين المستقلين. 

تتحمل لجنة التدقيق المسؤولية الكاملة عن مهام التدقيق الداخلي والخارجي للمؤسسة. 
فالمسؤولية الرئيسية للمدققين الخارجيين تجاه مجلس إدارة المؤسسة هي التصديق على دقة 
ونزاهة البيانات المالية. وعلى الرغم من استقلالية المدققين الخارجيينء فإن لجنة التدقيق 
تقوم بمراجعة الميزانيات الخاصة بالتدقيق الخارجي والتصديق عليهاء كما تقوم باستلام 
التقارير الصادرة عنهم» وسيكون لها اتصالات مستمرة مع الشريك المسؤول عن عملية 
التدقيق. وعلى الرغم من أن مكاتب التدقيق الخارجي قد تقوم بخدمة إحدى المؤسسات 
على مدى عدة سنوات» فإنه يحق للجنة التدقيق القيام بتغيير المدققين الخارجيين في حال 
وجود خلافات حول الخدمات واميزانيات» أو غيرها من المسائل. 

إن لجنة التدقيق هي المسؤولة عن التدقيق الداخلي وعن مدققي تقنية المعلومات 
لديهاء والذين يلعبون دوراً كبيراً في عملية تقييم الضوابط الداخلية الموضوعة للتحقق من 
مدى موثوقية كل من التقارير المالية وعمليات تقنية ا معلومات» وفاعلية وكفاءة العمليات 
التشغيلية» ومدى التزام المؤسسة بالقوانين واللوائح المعمول بها. ويقوم المدققون الداخليون 
وأخصائيو تدقيق تقنية المعلومات على وجه الخصوص بتقييم العديد من المخاطر المتعلقة 
بأمن وسلامة تقنية المعلومات وقضايا حوكمة تقنية المعلومات التي تواجه المؤسسة. 

إن الإدارت الخاصة بالتدقيق الداخلي تكون محكومة من خلال الميثاق الذي تمت 
الموافقه عليه من قبل لجنة التدقيقء والذي يحدد أنشطتها وعلاقتها مع لجنة التدقيق في 
المؤسسة. وتتطلب تلك المواثيق عادة بأن تقوم لجنة التدقيق بالتالي: 
٠‏ مراجعة الموارد والخطط والأنشطة: والتوظيف» والهيكل التنظيمي الخاص بوحدة 

التدقيق الداخلي في المؤسسة. وبالنسبة للأنشطة المتعلقة بحوكمة تقنية المعلومات» 

فقد تم إيجاز هذه المجالات في الفصل التاسع عشر من هذا الكتاب. 
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حوكمة تقنية المعلومات ودور لجنة تدقيق تقنية ا لمعلومات 


٠‏ مراجعة عمليات تعيين مدير التدقيق :041 وأدائه وتغييره» وهو الموظف المسؤول عن 
التدقيق الداخلي. 

٠‏ مراجعة جميع عمليات التدقيق والتقارير المعدة من قبل وحدة التدقيق الداخلي بجانب 
مراجعة رد الإدارة. 

٠‏ مراجعة مدى كفاية التقارير المالية ونظم الرقابة الداخلية مع كل من الإدارة ومدير 
التدقيق والمحاسبين المستقلين. ويتضمن ذلك نطاق ونتائج برنامج التدقيق الداخلي» 
والتعاون المتاح أو القيود (إن وجدت) التي كانت تفرضها الإدارة على سير عمليات 
برنامج التدقيق الداخلي. 
ومع مرور الوقت شكلت هذه المتطلبات جزءاً من العلاقة التي تربط ما بين وحدة 

التدقيق الداخلي ولجنة التدقيق لديها. حيث يجب أن يعمل مدير التدقيق عن قرب 

مع لجان التدقيق للتأكد من مدى ملاءمة وكفاية الروابط الفعالة للاتصالات. والنقطة 
الثالثة المذكورة حول تقارير التدقيق تعد خير مثال على ذلك. فقبيل ظهور قواعد قانون 
ساربنز أوكسلي ×50 كانت بعض إدارات التدقيق الداخلي تقوم بتسليم لجان التدقيق 
التابعة لها فقط بعض الملخصات المتعلقة بنتائج تقارير التدقيق الداخليء أو أنها كانت 

تقوم بتسليم نتائج تقارير التدقيق الداخلي التي يراها مدير التدقيق 047 بأنها "هامة". 

أما الآن فبموجب قواعد قانون ساربنز أوكسلي :50 يجب على التدقيق الداخلي أن يزود 

لجنة التدقيق بجميع تقارير التدقيق وردود الإدارة الداعمة لهاء ويتضمن ذلك أحياناً بعض 
التقارير التي تعتبر فنية إلى حد ما خاصة بتدقيق تقنية المعلومات التي تحتفظ بها إدارة 

التدقيق الداخليء والتي جاءت من مراجعي لجنة التدقيق. 

لا تشارك لجنة التدقيق عادة بالأعمال الإدارية اليومية الخاصة بإدارة التدقيق الداخلي 

ومديرها التنفيذي 04۴ ولكنها يجب أن تضمن الجودة المستمرة لإدارة التدقيق الداخلي. 

فعلى سبيل ال مثال» يجب أن تقوم لجنة التدقيق بمراجعة خطط التدقيق السنوية بعناية, 

وأن تقوم بتوجيه الأسئلة المناسبة بشأن النتائج والتوصيات التي جاءت في تقارير التدقيق 

الداخاي. هذا بالإضافة إلى قدرة لجنة التدقيق على تعيين أو فصل مدير التدقيق :2041 
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غير أنه يلزم وجود مستوى من التعاون المستمر في هذا الشأن. إذ لا تتواجد لجنة التدقيق 
في الموقع بشكل يومي لتوفير الإشراف التفصيلي على عملية التدقيق الداخلي ويجب أن 
تعتمد على الإدارة العليا للمؤسسة من أجل الحصول على بعض الدعم التفصيلي. 

لا يستطيع مدير التدقيق أو المدققون الداخليون تجاهل الطلبات الإدارية الملائمة 
بدعوى أنهم مسؤولون فقط عن توجيه تقاريرهم إلى لجنة التدقيق؛ وبأنهم غير معنيين 
بالمسار الإداري للمؤسسة. وبالمثلء فإنه يجب على إدارة المؤسسة أن تكون واثقة من أن 
وحدة التدقيق الداخلي هي جزء من المؤسسة وليست وحدة خارجية أو غريبة عنها بسبب 
علاقتها مع لجنة التدقيق. 
مسؤوليات لجنة التدقيق تجاه حوكمة تقنية المعلومات: 

يجب أن تقوم لجنة التدقيق بتطوير فهم شامل لمجمل احتياجات التدقيق في 
المؤسسة. ويشتمل هذا التقييم العالي المستوى للاحتياجات على مختلف القضايا الخاصة 
بالرقابة والتقارير المالية» الأمر الذي يسمح للجنة التدقيق بالقيام بتحديد الاحتياجات 
الخاصة بالتدقيق أو تقييم المخاطرء والتي ستنفذ إما بواسطة وحدة التدقيق الداخلي أو 
بواسطة مقدمي خدمات تدقيق آخرين. إن لجنة التدقيق باعتبارها جزءا من هذا الدور 
وباعتبارها المنسق النهاني لمجمل الجهود المبذولة في عملية التدقيق» هي المسؤولة عن 
مراجعة واعتماد الخطط والليزانيات العالية المستوى الخاصة بالتدقيق الداخلي. وعلى 
الرغم من أنه قد يكون لدى إدارة المؤسسة أفكارها الخاصة بأعمال التدقيق والكيفية التي 
يجب أن ثنفذ من خلالها تلك الأعمال وعلى الرغم من المرئيات الخاصة للمدير التنفيذي 
للتدقيق C۸4۴‏ بخصوص الاحتياجات التي يجب أن تنفذ, فإن لجنة التدقيق هي المسؤولة 
عن التصديق على الخطط والموازنات الخاصة بوحدة التدقيق الداخلي. ولا بد من أخذ 
جميع المرئيات أو الآراء المختلفة للأطراف الرئيسية بالاعتبار والعمل على تحقيق التوافق 
والانسجام فيما بينها بشكل مناسب» إلا أن لجنة التدقيق هي صاحبة الكلمة الأخيرة 
والفاصلة في هذه المسائل. 

وكما وضحنا في الفصول السابقةء كانت الإدارة العليا ولجنة التدقيق التابعة مجلس 
الإدارة تهتم عادة بقواعد المحاسبة المماليةء وقواعد قانون ساربنز أوكسلي ×80 والقواعد 
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الشاملة لحوكمة الشركات» أكثر من اهتمامها بالمسائل الخاصة بحوكمة تقنية المعلومات. 
ويتم تحديد هذه الأنشطة من خلال الخطة السنوية للتدقيق الداخلي التي يتم إعدادها 
بواسطة وحدة التدقيق الداخلي والموافقة عليها واعتمادها من قبل لجنة التدقيق. 

تعتبر المراجعات التي تقوم بها لجنة التدقيق لجميع خطط التدقيق الداخلي هامة 
وضرورية لتحديد السياسات والخطط المستقبلية على نحو أكثر فاعلية. لذا يجب أن 
تتولى لجنة التدقيق هذا الدور التنسيقي الرفيع المستوى» حتى تتمكن جميع الأطراف 
المعنية (كإدارة المؤسسة والمدققين الداخليين» والتدقيق الخارجي على حد سواء) من 
تحقيق مستوى فهم ومعرفة أفضل لطبيعة وآلية مجمل خطة التدقيق الداخليء وما يمكن 
توقعه من مقدمي خدمات التدقيق. وعلى الرغم من وجود قيود عملية على الكيفية 
أو الطريقة التي يمكن من خلالها إشراك لجنة التدقيق في العملية التفصيلية للتخطيط 
على نحو فعال» فإن بعض هذه المشاركات أعطت قيمة عالية لعملية التخطيط. وقد 
جرت العادة بأن يكون رئيس لجنة التدقيق هو الشخص الأكثر فاعلية في هذه العملية 
الخاصة بمراجعة الخطةء ولكن حتى هذا الشخص يتقيد في عمله هذا مدد زمنية. لذا 
يجب أن تقوم وحدة التدقيق الداخلي بإعداد وتحضير مجموعة كاملة من الوثائق 
التفصيلية المتعلقة بالخطط السنوية: وأن تقوم بتقدهها للجنة التدقيق التي ستقدم 
نتو رها طط تقصيلية اة القاكمة وحظظا متف اة طول ادى كما يعت أن 
تقوم وحدة التدقيق الداخلي أيضا بإعداد تقارير موجزة عن أنشطة التدقيق وعمليات 
إعادة التقييم السابقة للمناطق التي قامت بتدقيقها لإعطاء لجنة التدقيق صورة واضحة 
عن المناطق الهامة التي تمت تغطيها في المراجعات السابقة. وعلى الرغم من أنه يجب 
على وحدة التدقيق الداخلي أن تقوم بإعداد تقرير خاص بأنشطتها وإرساله إلى لجنة 
التدقيق بشكل منتظم» فإن هذا التقرير ا موجز للنشاط السابق يعطي بلحة عامة عن 
المجالات التي تركز عليها عملية التدقيق» ويس لط الضوء أيضاً على أي ثغرات يحتمل 
ظهورها وقت التدقيق. 

ومن منظور حوكمة تقنية المعلومات قد تتسبب خطط التدقيق الداخلي أحياناً في إثارة 
مشاكل لأعضاء لجنة التدقيق في المؤسسة. فغالباً ما يجهل هؤلاء الأشخاص أو المديرون 
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الرفيعو المستوى بعض المسائل المتعلقة بحوكمة تقنية المعلومات التي تم الحديث عنها في 
فصول هذا الكتاب كإدارة معيار أمن البيانات الخاص بصناعة بطاقات الدفع 20112855 
والذي تحدثنا عنه في الفصل الحادي عشر من هذا الكتاب. لذا يجب على مدير التدقيق» 
وبدعم من الفريق الخاص بتدقيق تقنية المعلومات» أن يقوموا باتخاذ ا مزيد من الخطوات 
لتثقيف لجنة التدقيق عن سبب تأكدها من أهمية القضايا الأكثر فنية التي تتعلق بتقنية 
اللات :هن منظور الضوايظ:الداغلية:ومخاظر حتوكمة تقنية اللعلومات: 


اجتماعات لجنة التدقيق وقضايا حوكمة تقنية المعلومات: 

قد تكون القضايا والمخاوف المتعلقة بحوكمة تقنية المعلومات غير مألوفة بالنسبة 
لبعض المديرين العاملين في لجان التدقيق» وذلك من خلال بعض القضايا التي تبدو في 
بعض الأحيان غريبة بالنسبة إليهم. ويعتاد المديرون التنفيذيون العاملون في لجنة التدقيق 
غالباً على التعامل مع عدد محدود من القضايا المتعلقة بحوكمة تقنية المعلومات حتى 
أصبحت مألوفة بالنسبة لهم مثل أهمية الخطط الفعالة لاستمرارية تقنية ا معلومات» 
والمسؤوليات القانونية ا محتملة الناجمة عن قضايا حوسبة الشبكة الاجتماعية: أو المخاطر 
المتعلقة بفيروسات البرمجيات. وقد تحدثت العديد من منشورات الأعمال الموجهة 
للمديرين التنفيذيين في لجنة التدقيق عن أنواع ا مخاطر وقضايا حوكمة تقنية المعلومات 
المتعلقة بها. ومع ذلك فإنه يجب على كل من الإدارة العليا ومدير التدقيق ووحدة تدقيق 
تقنية المعلومات» أن يقوموا بمحاولة إيصال مخاوفهم المتعلقة بالقضايا الأكثر تقنية وقضايا 
الحوكمة المرتبطة بها إلى أعضاء لجنة التدقيق. 

تعد خطط مراجعة تدقيقات حوكمة تقنية ا لمعلومات والمخاوف المتعلقة با مخاطر 
جزءاً من الخطط الإجمالية لعمليات التدقيق الداخليء لذا يجب أن يكون هناك اتصال 
مفتوح بين مدققي تقنية المعلومات ومديريهم التنفيذيين فيما يخص تلك القضايا ا محددة 
في حوكمة تقنية المعلومات. ومع ذلك فإن إرسال الخطابات إلى لجنة التدقيق تعتبر 
عض الان مشسكلة كيرة. وكا ا نانفا فزن غا اة التدقيق مک ولون ب 
أكثر بالقضايا التي تتعلق بالتقارير المالية والالتزام بقانون ساربنز أوكسلي ×80 وغيرها من 
قضايا ا مخاطر الأخرىء ولا يركز العديد منهم على قضايا التدقيق الداخلي المرتبطة بحوكمة 
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تقنية المعلومات بشكل منتظم. وبالاستعانة مدير التدقيق» تحتاج عملية تدقيق تقنية 
المعلومات إلى أن تصل إلى أعضاء لجنة التدقيق لتطلعهم على أهمية القضايا ا متعلقة 
بالضوابط الداخلية لحوكمة تقنية المعلومات ومدى تطورها. 

وقد يكون من المجدي أو من الأهمية بمكان بالنسبة للعديد من المؤسسات أن تقوم 
بجدولة اجتماعات توجيهية ربع سنوية (كل ثلاثة أشهر) مع لجنة التدقيق لإطلاعهم على 
المخاطر والمستجدات المتعلقة بحوكمة تقنية المعلومات. ويمكن استغلال هذه الاجتماعات 
لتثقيف أعضاء لجنة التدقيق عن قضايا بيئة حوكمة تقنية المعلومات في المؤسسة وغيرها من 
القضايا المتعلقة با مخاطر. ويمكن أحياناً تنفيذ هذا النوع من الاجتماعات بالاشتراك مع المدير 
التنفيذي للمعلومات في المؤسسة: لكن في كثير من الأحيان نرى أنه من الأفضل أن يتم قيادة 
الجلسة في المقام الأول من قبل مدير التدقيق ووحدة تدقيق تقنية المعلومات في المؤسسة. 

إن المسؤولية العظمى التي تقع على عاتق لجنة التدقيق هي القيام بمراجعة النتائج 
الهامة لعميات التدقيق التي تصل إليها عن طريق المدققين الداخليين والخارجيين والإدارة 
وغيرهم» وأن تقوم باتخاذ التدابير المناسبة حيالها. ومع أن لجنة التدقيق تتحمل المسؤولية 
عن كل هذه ا مجالات» إلا أن تركيزنا هنا ينصب على الحاجة إلى لجنة تدقيق تقوم بعمليات 
التدقيق الداخلي وتدقيق تقنية المعلومات على وجه الخصوص. وذلك للراجعة وفهم جميع 
النتائج والقضايا المتعلقة بحوكمة تقنية المعلومات التي تصل لأعضاء اللجنة واتخاذ التدابير 
المناسبة المنتظمة والفورية. 

إن الرد على النتائج الهامة لعملية التدقيق التي تم إيصالها إلى لجنة التدقيق يتطلب 
مزيجاً من الفهم والكفاءة والتعاون من قبل جميع الأطراف الرئيسية ال معنيةء وهي 
التدقيق الداخليء والإدارةء والمدققين الخارجيين» ولجنة التدقيق نفسها. ويصبح بعد ذلك 
مستوى الرفاهية في المؤسسة هو المعيار الحقيقي الذي نحكم من خلاله على جميع خدمات 
التدقيق الداخليء على عكس العديد من المرئيات المحلية التي ترى احتمالية تعارض مصالح 
كل من الإدارة ولجنة التدقيق. كما يجب على إدارة تقنية المعلومات» في حدود مسؤوليتهاء 
أن تعمل بجد بتطبيق التدابير التحسينية المستمرة للحوكمة لتقييم ما إذا كانت البنود 
المناسبة للإجراء التصحيحي في مكانها الصحيح. 
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لقد تحدث هذا الفصل والفصول السابقة من هذا الكتاب عن مجموعة واسعة من 
القضايا الخاصة بحوكمة تقنية المعلومات التي تؤثر في مؤسسات الأعمال. وعلى الرغم من 
أن لجنة التدقيق هي المسؤولة في نهاية المطاف عن تقييم التقدم والأنشطة المتعلقة بهذه 
الأمورء فإنه يجب على الإدارة العليا المسؤولة عن حوكمة تقنية المعلومات في المؤسسة أن 
تحدد ما إذا كان قد تم تثبيت ووضع العمليات المناسبة» وما إذا كانت تلك العمليات تعمل 
بالشكل الصحيح. إن النظام الجيد لضوابط وعمليات حوكمة تقنية المعلومات سوف يسهم 
في نجاح المؤسسة بشكل عام. 


1 دليل المستول التنفيذي لحوكمة تقنية ا معلومات 


نبذة عن المؤلف: 

زويرث ن مولن حامل غان شهاوات فظ6 و 015 و 884139618377 وهو كەن 
في التدقيق الداخلي ونظم الرقابة الداخلية وإدارة المشاريع؛ ولديه فهم جيد لحوكمة 
الشركات ونظم المعلومات وإدارة المخاطر. تمتد خبرته لأكثر من ٤٠٠‏ عاماً في إدارة وحدات 
التدقيق الداخلي وإدارة مجموعة واسعة من مشاريع تقنية المعلومات وغيرها من المشاريع 
من خلال نظم الرقابة الداخلية والحوكمة. عمل مديراً وطنياً لتدقيق تقنية المعلومات 
لشركة جرانت ثورنتون (111012]011 13116©): كما كان مدير التدقيق الداخاي لشركة سيرز 
روبوك (كناداء20 5::ه»5), حيث كان يرفع تقاريره للجنة التدقيق وترأس فريقاً لإعادة 
هيكلة عمليات الرقابة الداخلية للمؤسسة وكان أول من أنشأ إدارة أخلاقيات شركتهم. يعد 
الكاتب مؤلفاً ومتحدقاً ھور فهو يقدم لقارئيه رؤى ثاقبة لعديد من قضايا الأعمال 
ومخاوفها التي تؤثر في عمليات الحوكمة وا مخاطر والامتثال في المؤسسة. 
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المترجم في سطور 


١‏ محمد أحمد عبداللطيف أحمد 


المؤهل العلمي: 


۰ ماجستير علوم الحاسب» جامعة امنيا مصر عام ۳۹ م. 


العمل الحالي: 
٠‏ عضو هيئة تدريب» قطاع تقنية ال معلومات» معهد الإدارة العامة الرياض. 


الأنشطة العلمية والعملية: 

- باحث بقسم علوم الحاسب» كلية العلوم» جامعة المنياء 7٠١5-1٠١6‏ 

- عضو فريق مشروع إنشاء مركز دعم نظم ا معلومات الإدارية جامعة امنيا 7:5 .٠٠٠١-‏ 

- تصميم وإعداد ومراجعة عدة حقائب تدريبية: معهد الإدارة العامة - قطاع تقنية 
المعلومات. 

- حاصل على العديد من الشهادات الاحترافية الدولية في مجال تقنية المعلومات وإدارتها 
وحوكمتها. 

- مدرب معتمد من شركة ميكروسوفت. 

إضافة إلى هذا الكتاب لدى المترجم عدد من الأبحاث العلمية: 

- Ahmed. A. A. Radwan, Fatma A. Omara, A. A .Ali, M. A. Abdelatif, 

"Enhanced Distributed QoS Routing Algorithms in Wireless Networks", 


م 


International Journal of Intelligent Computing & Information Sciences, 
Vol.8, No.2, (July2008) pp223-235 


2- Ahmed. A. A. Radwan, Fatma A. Omara, A. A .Ali, M. A. Abdelatif, 
“Distributed QoS Routing Using Developed Flooding in Wireless Ad 
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Hoc Networks”, The proceeding of the fourth International Conference 
on Intelligent Computing and Information Systems (ICICIS) 19-22 
March 2009, pp. 490-501, Cairo-Egypt 

3- Mohamed A. El-Sayed, M. Hassaballah, Mohammed A. Abdel-Latif, 
"Identity Verification of Individuals Based on Retinal Features Using 
Gabor Filters and SVM", Journal of Signal and Information Processing, 
Vol.7 No.1, February 2016, pp.49-59 

4- Mohamed A. El-Sayed, Mohammed A. Abdel-Latif, “Optimization 
Methods for Identity Verification System Using Biometric Features”, 
International Journal of Applied Engineering Research ISSN 0973-4562 
Volume 12, Number 18 (2017) pp. 7143-7153 


ع دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


؟- عبدالله حسن كامل صالح 


المؤهل العلمي: 


- ماجستير في علوم الحاسب الآلي والبرمجة من الجامعة الأردنيةء عمان» الأردنء عام 7٠١١‏ م. 


العمل الحالي: 

- مدرب في قطاع برامج الحاسب في معهد الإدارة العامة - المركز الرئيسي في الرياض. 

- مسئول عن تقديم الدعم الفني والتقني للأنظمة المالية والموارد البشرية الخاصة بتطبيق 
أنظمة التخطيط للموارد المؤسسية £۸۶ في معهد الإدارة العامة في المركز الرئيسي في 
الرياض. 

الأنشطة العلمية والعملية: 

- عضو هيئة تدريس (محاضر) في كلية تقنية المعلومات - جامعة فيلادلفيا في الأردن من 
عام ۲۰۰۱ إلى عام ۲۰۰۸. 

- عضو هيئة تدريب (مدرب) في معهد الإدارة العامة - ال مركز الرئيسي - الرياض من عام 
۸ إلى الآن. 

- تصميم ومراجعة عدة حقائب تدريبية في معهد الإدارة العامة -قطاع تقنية المعلومات. 

- عضو في لجنة إعداد الخطة الإستراتيجية لتقنية المعلومات في معهد الإدارة العامة المنفذة 
منذ العام ۱٤۳۹/۱٤۳۵‏ ه إلى عام ۱٤٤١‏ هد 6 

- عضو في فريق إعداد معايير نشاط الاستشارات في معهد الإدارة العامة بالتنسيق مع الهيئة 
الوطنية للتقويم والاعتماد الأكاديمي في وزارة التعليم. 
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مراجع الترجمة في سطور 
د. محمد بن عبدالله الشنيفي 


المؤهل العلمي: 
دكتوراه الفلسفة في علوم الحاسب الآليء مايو ۹۹۸ 
معهد إلينوي للتكنولوجياء شيكاغوء إلينوي. 


العمل الحالى: 
- أستاذ مشارك في قسم هندسة علوم الحاسب الآليء كلية علوم الحاسب وتقنية ا معلومات» 
جامخة الباحة دوسمين 175 إل الوقثالخاضئن: 


أبرز لأنشطة العلمية: 
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Genes and Diseases in Human Using Gene Ontology. 9th International Conference on 
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Classification with Improved Feature Weighting Method. 8th International Conference 
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April 4-6, 2016. 

٠ H. Al-Mubaid. Mohamed Shenify and Sultan Aljahdali.Assessing Gene-Disease 
Relationship with Multifunctional Genes Using GO. Accepted paper. IEEE 
AICCSA 2016. 

. H.Al-Mubaid,and Mohame Shenify . Improved Bayesian based method for classifying 
disease documents. WSCAR-2016 

». Bassam Naji Al-Tamimi, Mohammed Shenify, Rahmat Budiarto, A New Algorithm 
For Protecting Mobile Home Network From IPv6 Routing Header Vulnerability In 
Mixed IP Networks, Journal of ICT, UUM Press, Vol. 14, 2015 (to appear) 
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com/proceedings.pdf) 


Bassam Naji Al-Tamimi, Mohammed Shenify, Rahmat Budiarto, Protecting, Home 
Agent Client from IPv6 Routing Header Vulnerability in Mixed IP Networks , Journal 
of ICT, UUM Press, Vol. 14, 2015, Pp.77-93. 

Mohammed Shenify, Rahmat Budiarto, Sultan Aljahdali, Hisham M. Alsaghie,2015, 
Incorporating R&D Activities into Computer Engineering Teaching & Learning Program 
in Albaha University, Proceedings of The 3rd International Conference on Learning 
and Teaching in Computing and Engineering (LaTiCE, IEEE Technically Sponsored) 
2015, Taipei, 9-12 April 2015 

EA. Mazarbhuiya, M.Shenify. An Efficient Alogrithm for Minimg Locally Frequent 
Itemsets.2014 ASE BIGDAT/SOCIAL COM/CYBERSECURITY, Conference, 
Stanford University, May, 27-31, 2014. ISBN: 987-1-62561-000-3. 

Mohamed Shenify, Language Variation: Corpus Evaluation using Language Modeling, 
International Computing Conference in Arabic :I[CCA 2013, 9-10-11, December, 
2013. Tunisia. 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


Mohamed Shenify Geographical Classification for Arabic text. International 
Computing Conference in Arabic :ICCA 2013, 9-10-11, December,2013 .Tunisia 


Mohamed Shenify, Trusted Node-Based Algorithm to Secure Home Agent NATed IPv4 
Network from IPv6 Routing Header Attacks, TELKOMNIKA journal, Vol.12, No.4, 
December 2014, Pp. 969-976 (http://journal.uad.ac.id/index.php/TELKOMNIKA/ 
article/view/540/pdf_51) 

Mohamed Shenify, Retrieving Information Using Concept For Multi-Format Data In 
Cloud Environment, Submitting to JTAIT 


Zahra Eskandari, Seyed Amin Hosseini Seno, Muhamed Shenify, Rahmat 
Budiarto, 2014, Optimal Cluster Head selection in Wireless Sensor Networks using 
Integer Linear Programming Techniques, International Journal of Informatics 
and Communication Technology (1J-ICT), IAES ISSN: 2252-8776, Vol 3(3), DOI: 
10.11591/ij-ict.v3i13.6614 


(http://iaesjournal.com/online/index.php/IJICT/article/view/6614 


Alireza Tajalli, Seyed-Amin Hosseini-Seno and, Mohamed Shenify, Rahmat Budiarto, 
2014, An Incentive Mechanism for Cooperative Data Replication in MANETS A 
Game Theoretical Approach, Proceedings of International Conference Electrical 
Engineering, Computer Science and Informatics (EECSI 2014), Yogyakarta, 
Indonesia, 20-21 August 2014, Pp.111115 (http://iaesonline.com/eecsi/2014/) 
Fatemeh Hakimifar ,Seyed-Amin Hosseini-Seno, Mohamed Shenify and Rahmat 
Budiarto, 2014, An Efficient Cluster-based Routing Protocol for Mobile Ad Hoc 
Networks, Proceedings of International Conference Electrical Engineering, Computer 
Science and Informatics (EECSI 2014), Yogyakarta, Indonesia, 20-21 August 2014, 
Pp.476-481 (http://iaesonline.com/eecsi/2014/) 

E. A. Mazarbhuiya, M. Shenify, A. Khan, A. Farooq. Finding Cyclic Frequent Itemsets. 
11051 International Journal of Computer Science, 2012, Vol. 9, issue 6 (1), 229-236. 
Soraya Zaidi, Ahmed Abdelali, Mohamed-Tayeb Laskri, Mohamed A. Al Shenify. 
Extracting Simple and Compound Terms from Arabic Texts: An Application on The 
Quranic Text. Communication of the Arab Computer Society, 2011, vol. 4(1). 


۸ دليل المستول التنفيذي لحوكمة تقنية ا معلومات 


Mu'away Naser and Mohammd Al-Shnify. Blood Vessels Segmentation From Lever 
CT Scan Image Using Level Set Curve Evolution. G. J. P&A Sc and Tech., 2011, vol. 
1(2), Pp. 38-55. 

Mohammed Shenify, Rahmat Budiarto, Sultan Aljahdali, Hisham M. Alsaghie,2015, 
Incorporating R&D Activities into Computer Engineering Teaching & Learning 
Program in Albaha University, Proceedings of The 3rd International Conference on 
Learning and Teaching in Computing and Engineering (LaTiCE, IEEE Technically 
Sponsored) 2015, Taipei, 9-12 April 2015. 


دليل المستول التنفيذي لحوكمة تقنية المعلومات 


558 


كن 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


حقوق الطبع والنشر محفوظة لمعهد الإدارة العامة ولا يجوز 
اقتباس جزء من هذا الكتاب أو إعادة طبعه بأية صورة دون موافقة 
كتابية من المعهد إلا في حالات الاقتباس القصير بغرض النقد 
والتحليل» مع وجوب ذكر المصدر. 








تم التصميم والإخراج الفني والطباعة في 
الإدارة العامة للطباعة والنشر بمعهد الإدارة العامة - ١٤٤٠ه‏ 


يزداد الاهتمام بالحوكمة من قبل جميع الشركات على اختلاف 
أحجامها وأنواعها. سواء كانت مؤسسات قطاع عام لا تهدف للربح أم 
كيانات خاصة. وذلك في ظل الظروف الاقتصادية الدائمة التغير التي 
يشهدها عالم اليوم. وتتكون مفاهيم حوكمة المؤسسات من سلسلة 
من مجالات واسعة تغطي جميع أنشطة المؤسسة. والتي يتطلب 
تطبيقها عددا من الإرشادات والبرامج لضمان نزاهة الإجراءات الإدارية 
وحماية المؤسسة من الممارسات الخالفة والاحتيالية. ومن الطبيعي أن 
ختاج الحوكمة المؤسسية الفعالة إلى مهارات إدارية قوية لاتخاذ قرارات 
مهمة. كما ختاج احتيدي) کتبا إلى نظم وعمليات تقنية المعلومات 
على وجه الخصوص. ويمثل هذا المجال المهم حوكمة تقنية المعلومات. 
وهو الموضوع الشامل لهذا الدليل التنفيذي. 

يتناول هذا الكتاب مفهوم حوكمة تقنية المعلومات, الذي يعد 
جز من مفاهيم حوكمة اللإشتسات, فهو يهدف إلى ققني مَعلومات 
أساسية عن القضايا المتعلمقة بحوكمة تشد ة اللمعلومات. وقد 3 
تقسيم الكتاب إلى ستة أجزاء رئيسية ةيتناول كل جزء منها عددا من 
القضايا التي تخص حوكمة تقنية المعلومات. 


ل EL E TIES‏ يتمثل في مساعدة كبار مديري 
المؤأسسات على فهم أهمية قضايا حوكمة تقنية المعلومات فهماً 
أفضل وتطبيقها في مؤسساتهم. من خلال تزويدهم بالمعايير وأطر 
العمل العالمية اللازمة للوصول إلى نظم وعمليات أقوى لكل من تقنية 
المعلومات والمؤسسة بأكملها. 


LL 





تصميم وإخراج وطباعة الإدارة العامة للطباعة والنشر- معهد الإدارة العامة ١٤١١ه‏ 


